基本介紹
- 中文名:Win32.Troj.Lineage.ud
- 處理時間:2006-08-09
- 威脅級別:★
- 病毒類型:木馬
- 影響系統:Win 9x/ME,Win 2000/NT
簡介,病毒行為,
簡介
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
這是一個盜取傳奇賬號密碼的木馬,它還能關閉大量的反病毒軟體的進程.
病毒行為
拷貝與釋放檔案
病毒被運行後,會把自己拷貝到program files目錄下,並命名為svhost32.exe
並在system32下釋放一個名為ztdll.dll的檔案,該檔案是個風險程式,病毒名為
Win32.RISKWARE.PswGameSnd.b.39936
更改註冊表
病毒會修改以下註冊表中的值,使病毒能隨Windows啟動
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load ->C:\Program Files\svhost32.exe
中止特定的進程
病毒會中止掉以下進程名的進程
iparmor.exe
ravmond.exe
ravmon.exe
adam.exe
EGHOST.exe
MAILMON.exe
KAVPFW.exe
KVMonXP.KXP
KRegEx.exe
KVXP.KXP
載入dll
病毒會把ztdll.dll插入Explorer.exe進程的空間中,該DLL是用於傳送病毒獲得的密碼
截取並傳送遊戲賬號與密碼
病毒會通過尋找視窗標題的方法來尋找傳奇登錄的視窗,若發現,就通過鉤子讀取用戶輸入的遊戲賬號
與密碼,並把得到的賬號與密碼通過郵件的方式,插入到Explorer.exe進程中的ztdll.dll模組傳送到黑客
