基本介紹
- 外文名:Win32.Troj.Gamania.a
- 威脅級別:★★
- 病毒類型:木馬
- 影響系統:Win9x / WinNT
病毒別名:Trojan-PSW.Win32.Gamania.a[AVP]
處理時間:
病毒行為:
這是一個盜取天堂賬號信息的木馬病毒。該病毒首先會嘗試關閉一些常用病毒防火牆和一些反木馬程式,如金山網鏢、瑞星防火牆、天網防火牆、木馬剋星等。然後就掛鈎系統的滑鼠和鍵盤訊息,截取用戶的天堂遊戲賬號信息,並將這些賬號信息傳送到木馬種植者預定的信箱。
1.創建信號量tt1MMa防止多個實例同時運行。
2.WinNT下將自己複製為C:\Program Files\explorer.exe,釋放病毒檔案%System%\htdll.dll(Win32.Troj.PSWLineage.be)。
(Win32.Troj.PSWLineage.be),並將自己註冊位後台服務進程,從而在任務管理器中隱藏自己。
3.修改註冊表。
在註冊表中添加啟動項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"sys_Runtt1"="C:\Program Files\explorer.exe"
4.查找視窗名和視窗類為:
RavMon.exe
RavMonClass
天網防火牆個人版
Tapplication
天網防火牆企業版
TForm1
噬菌體
TfLockDownMain
ZoneAlarm
ZAFrameWnd
的視窗並關閉它們。
終止進程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
5.下載指定網路檔案到本地計算機運行。
6.病毒將釋放的檔案htdll.dll注入到Explorer.exe進程中,然後就掛鈎系統的滑鼠和鍵盤訊息,竊取用戶天堂遊戲密碼,通過網頁或者直接傳送給木馬種植者。
