基本介紹
- 外文名:Win32.PswTroj.Lineage.y
- 類別:木馬病毒
- 發現日期:2006-9-12
- 病毒資料:注入Explorer.exe進程的木馬
類別:木馬病毒
病毒資料:這是一個注入Explorer.exe進程的天堂盜號木馬 1:拷貝檔案 病毒運行後,會把自己拷貝到%system%目錄下,並命名為Kerne0813.exe, 之後加上系統,唯讀,存檔,隱藏4個檔案屬性. 並在同一目錄下釋放一個檔案名稱為Microsoftie0813.dll的檔案,該檔案也是個病毒 病毒名為Win32.PswTroj.Lineage.y.111104 病毒就會刪除自己. 2:更改註冊表 病毒會在註冊表中添加一項,使自己能隨Windows啟動 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Kerne0813 -> "C:\WINDOWS\system32\Kerne0813.exe" 3:注入進程 程式會尋找當前目錄下是否有microsoftie0813.dll檔案,若有的話,則把該dll注入到explorer.exe進程空間中運行, 若檔案不存在,則重新釋放一個,再把它注入到進程中運行. 4:盜取並傳送信息 病毒會尋找網路遊戲"天堂"的遊戲視窗,並從記憶體中讀取遊戲的數據,包括遊戲的賬號,密碼,當前玩家人物的地點, 身上的物品,金錢等,並把這些信息通過郵件後傳送到木馬種植者的信箱中,使用戶的遊戲賬號丟失.病毒FAQ:Windows下的PE病毒
發現日期:2006-9-12