Trojan.PSW.Lineage.an

2008-02-23 08:36:38来源：互联网阅读 ()

病毒名称: Trojan.PSW.Lineage.an 类别：木马病毒病毒资料：破坏方法：

偷游戏“Lineage II”密码的木马。

一、把自己复制到系统目录中。

命名为“Intrenet.exe”，伪装成系统文件，并运行起来。

设置系统中的病毒文件属性为“只读”、“隐藏”、“系统”。如果系统采用Windows默认配置，“搜索”和在文件管理其中察看，都不能看到病毒文件。

病毒完成驻留后，把自身删除。

二、在注册表启动项中添加自启动方式。例如：

HKEY_LOCAL_MACHINE\SoftWare\Microsoft
\Windows\CurrentVersion\Run
"Intrenet" = "C:\WINNT\System32\Intrenet.exe"
每次开机，病毒会自动偷偷运行起来。

三、删除注册表项

HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion\Policies
\WinOldApp 的“NoRealMode”值。后果是用户不能打开dos窗口。

四、病毒加了壳，解密前检测跟踪程序，如果发现运行soft-ice，立即退出。

五、中止下列反病毒软件。
“Symantec AntiVirus 企业版”、
“江民杀毒软件”、
“天网防火墙个人版”、
“天网防火墙企业版”、
“LockDown”、
“PassWordGuard.exe”
EGhost.EXE、
Iparmor.exe、
MAILMON.EXE、
KAVPFW.EXE、
KV2004、
RavMon.exe

六、释放文件“Intrenet.dll”。利用该文件挂接全局鼠标和键盘钩子。
如果发现当前窗口是“Lineage II”的登陆窗口，会把登陆信息保存到c:\logfile.txt。最后以http协议的方式提交到指定网址。病毒采用这种方式是为了躲避防火前的拦截。提交的信息包括“UserID”、“UserPsw”、“ServerID”、“ComputerName”。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-12-27

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有