Trojan.PSW.CNLineage.b

2008-02-23 08:40:11来源：互联网阅读 ()

病毒名称: Trojan.PSW.CNLineage.b 类别：木马病毒病毒资料：破坏方法：

这是一个偷天堂游戏密码的木马。采用Delphi编写。

运行后将自己拷贝到Windows目录下，文件名为Services.exe。再拷贝一份到系统目录下，文件名为WinSocket.dll。
然后添加如下注册表项：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
hellfire : ％WINDIR％\Services.exe

HKLM\Software\Microsoft\Windows\CurrentVersion
\RunServices
hellfire : ％WINDIR％\Services.exe

这样，每次开机病毒都能启动。在98下还会注册成服务，增加隐蔽性。

病毒注册并创建类型为"THellFire"的窗体，然后在后台运行，每隔一秒遍历所有进程和窗体，结束下列进程：RavMon.exe，天网防火墙个人版，天网防火墙企业版，木马克星，噬菌体，ZoneAlarm.
这些都是在国内使用比较广泛的杀毒软件和防火墙。用户可能发现一些杀毒软件总也启动不了的现象，原因在此。

病毒试图查找天堂游戏窗体。找到以后挂钩子进入天堂游戏的进程空间。然后直接读取相关动态库特定偏移地址，从而将游戏内中特定信息读出。可见病毒作者深入研究过天堂游戏的可执行文件，对一些重要信息在内存地存放位置很了解。

然后病毒将读出的信息通过电子邮件发送出去，使用自己的邮件引擎。邮件内容包括被感染机器的IP地址，机器名以及有关天堂游戏的信息。
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2005-1-5

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有