§ 概要

病毒名称：密码张（Trojan/PSW.Zypws.al）

病毒类型：木马

病毒大小：118784字节，111104字节，18944字节

传播方式：网络

危害等级：★★

2004年6月23日，江民反病毒中心率先截获“密码张”木马病毒的最新变种（Trojan/PSW.Zypws.al）。该病毒运用窗口消息挂钩和API挂钩等技术窃取传奇游戏帐号密码等信息，提交给病毒作者维护的网页脚本。

具体技术特征如下：

1. 病毒运行后，将在用户计算机中创建以下文件：

%WinDir%\\windll.exe, 118784字节，病毒程序自身

%WinDir%\\hook.dll, 18944字节，病毒模块，用来进行消息挂钩和API挂钩

%WinDir%\\winsoftdll.dll, 111104字节，病毒模块，用来嵌入到系统进程。

2. 病毒根据用户Windows系统版本不同，分别添加不同的注册表启动项：

Windows 98：

【HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run】

"windll.exe" = windll.exe

Windows 2000/XP：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon】

"Shell" = explorer.exe ％WinDir%\\windll.exe

3. 把%WinDir%\\winsoftdll.dll模块注入到EXPLORER.EXE进程中，此时病毒主程序退出。winsoftdll.dll被加载后，开启一个计时器，每隔2秒做下面的事情：

重写上文列出的病毒注册表键值；

建立共享内存区，从本地传奇游戏文件中偷取用户信息，保存在共享内存中；

搜寻传奇登陆窗口和IE浏览器窗口，一旦发现它们，就调用另一个病毒模块Hook.dll对目标窗口安装消息挂钩；

4. 传奇登陆窗口和IE窗口被安装了消息挂钩后，对这些窗口进行的任何操作都会激活Hook.dll病毒模块。Hook.dll将对目标窗口进程的send，recv和TextOutA三个API函数进行挂钩，此时用户通过IE发送接受的信息以及传奇窗口上回显的文字信息都会被病毒截获。当病毒确定已经窃取到用户的帐号、密码等信息后，会提交给远程网页脚本：

http://www.shen**.org.cn/download/upfile.asp

http://www.mir**.net/inc/login.asp

5. 病毒还会从网上获取自身的最新版本，进行自我更新。

6. 病毒代码有“这一次你要还是能查得出来，算你狠.呵呵”，“世界上只有一个中国”等字样。

§ 相关条目

网站 网址 网络 计算机 软件 硬件

• 吴文炜
• 吴文炳烈士
• 吴文焘
• 吴文焘（1913～　　）
• 吴文牡烈士
• 吴文玉烈士
• 吴文英
• 吴文英烈士
• 吴文英（约1200～1260左右）
• 吴文藻
• 吴文谨
• 哈利勒
• 哈利多
• 哈利法体育馆
• 哈利法克斯
• 哈利法克斯湾
• 哈利法国际网球馆
• 哈利波特式营销
• 哈利犬
• 哈利王子
• 哈利站
• 哈利，A.
• 哈剌哈孙
• 哈剌契丹
• 哈力克江