Win32.PSWTroj.Lineage.ia病毒為windows平台下專門針對天堂網路遊戲的特洛伊木馬,病毒運行後將自身偽裝成系統正常程式,利用注入技術監視天堂網路遊戲,並記錄遊戲的賬號、密碼、角色裝備等信息,同時病毒運行中會終止常見的反病毒軟體。
基本介紹
- 中文名:Win32.PSWTroj.Lineage.ia
- 處理時間:2006-09-06
- 威脅級別:★
- 病毒類型:木馬
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒主要通過網路欺騙、軟體捆綁,其它病毒攜帶等方式進行傳播。
1、病毒運行後將自身複製為偽系統正常檔案:
%Windir%\system32\explorer.exe
%Windir%\rundll32.exe
%Windir%\Internat.exe
2、釋放出以下主盜號程式:
%Windir%\system32\dab1.dll
%Windir%\system\micro.dll
3、病毒運行過程中生成以下臨時檔案:
c:\gameab1.txt
4、病毒修改以下註冊表項使病毒開機後自動運行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Windir%\system32\userinit.exe,%Windir%\System32\explorer.exe"
如果是Win9x則病毒通過修改Win.ini檔案使病毒開機後自動運行
5、病毒運行過程中會實時監視並終止以下相關反病毒軟體進程:
RavMon.exe
EGhost.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
6、病毒會關閉窗體類名為"RavMonClass"的程式。
7、病毒利用注入技術將病毒代碼注入每個進程中,然後通過判斷主程式名為"Lineage.exe"
的方法定位天堂遊戲,病毒還會通過查找窗體名為"Lineage Windows Client"的方式定位天堂遊戲。
