Trojan.PSW.Pass1007.b

2008-02-23 08:35:47来源：互联网阅读 ()

病毒名称: Trojan.PSW.Pass1007.b 类别：木马病毒病毒资料：破坏方法：

这是一个盗取用户各种信息的木马：“密码007”

该病毒行为如下：

1.释放一个动态连接库文件到系统目录下：

"C:\WINNT\System32\EHAE.dll"

2.修改注册表使该动态连接库文件能够自动加载到系统中，相关键值为:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\EXPlorer\ShellExecuteHooks\
{8BAA7594-70F6-4895-BA1C- 778C33327E83} = "Maihook1007"
HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}

HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\(Default) = "Maihook1007"

HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\InprocServer32 = 新建子键

HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\InprocServer32
(Default) = "C:\WINNT\System32\EHAE.dll"

HKCR\CLSID\{8BAA7594-70F6-4895-BA1C-778C33327E83}\InprocServer32
"ThreadingModel" = "Apartment"

3.该病毒能够终止下列反病毒软件：

天网防火墙
金山毒霸
密码防盗专家
反黑王
杀毒王
瑞星杀毒
kingsoft antivirus mail monitor proxy
瑞星个人防火墙
瑞星个人防火墙2004
金山网镖
江民杀毒软件 kv2004：实时监视

江民杀毒软件 kv2004
江民杀毒软件：简洁操作台
江民黑客防火墙
等等

4.该病毒能够盗取大量的用户登陆信息并发送到指定邮箱
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-20

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有