Win32.Troj.PSWLineage.hu

Win32.Troj.PSWLineage.hu是一個天堂木馬病毒,它會監控天堂視窗,然後竊取用戶輸入的天堂的帳戶和密碼,並把記錄的信息通過郵件傳送出去.該病毒具有一定的反安全軟體的能力,給用戶帶來很大的損失.

基本介紹

  • 外文名:Win32.Troj.PSWLineage.hu
  • 類別:病毒
  • 威脅級別:一星
  • 病毒類型:木馬
病毒概述,病毒性質,病毒行為,

病毒概述

影響系統:Win9x / WinNT

病毒性質

這個是一個天堂木馬病毒,它會監控天堂視窗,然後竊取用戶輸入的天堂的帳戶和密碼,並把記錄的信息通過郵件傳送出去.該病毒具有一定的反安全軟體的能力,給用戶帶來很大的損失.

病毒行為

1.檔案增加:
%system%\W3E.dll
%systemroot%\ED5S.exe
2.修改hosts檔案:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.kasperksy-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.symantec.com
127.0.0.1 www.viruslist.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 ftp.avp.ru
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 ftp.kaspersky.com
127.0.0.1 downloads-us22.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-us2l.kaspersky-labs.com
127.0.0.1 downloads-eu2l.kaspersky-labs.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 windowsupdate.microsoft.com
3.增加註冊表起始項,使病毒開機運行
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CD6G
C:\WINNT\ED5S.exe
4.結束以下進程和視窗:
KVMonXP.KXP
KVXP.KXP
KAVSVC.EXE
KAV.EXE
MAILMON.EXE
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
江民防毒軟體
天網防火牆企業版
RavMon.exe
RavMonClass
5.會從固定網站下載更新病毒本身的檔案:
http://www.xxx.com/hehe/123.exe
6.把竊取的用戶信息存放在下面的檔案里,然後通過郵件傳送出去:
c:\VGT6.txt
7.還會修改防火牆的規則,從而逃避防火牆的監控.

相關詞條

熱門詞條

聯絡我們