【病毒名称】：Trojan/PSW.Lineage.di

【中 文 名】：“天堂杀手”变种di

【病毒长度】：29148字节

【病毒类型】：木马

【危害等级】：★★

【影响平台】：Win 9x/2000/XP/NT/Me/2003

近日，江民反病毒中心监测到，一个假冒台湾微软网站http://www.microsoft.tw.cn（真实的台湾微软网站地址为http://www.microsoft.com/taiwan）带有”天堂杀手”木马病毒(Trojan/PSW.Lineage.di)。该木马病毒会记录用户键盘输入，盗取天堂游戏的帐号密码，通过其自带的SMTP引擎把获得的非法信息通过电子邮件发送给病毒作者。但当用户访问该网站上的恶意网页http://***.microsoft.tw.cn/bug.htm 时，该网页会利用IE浏览器的MHT文件下载执行漏洞，在用户不知情的情况下下载恶意CHM文件http://***.microsoft.tw.cn/bug.txt并运行内嵌其中的“天堂杀手病毒运行后，将创建三个文件user.txt/svchost.exe/ie.txt, 其中user.txt是帐号密码记录文件, svchost.exe，ie.txt是病毒自身病毒版本信息文件。病毒同时修改注册表启动项，以使自身与Windows同时启动。病毒会删除微软Media文件夹中所有后缀为rmi，mid，wav的媒体文件，造成Windows声音方案失效；挂接Windows钩子，监视用户当前窗口，当窗口标题为"Lineage Windows Client"等字串时，记录用户的键盘输入，定时通过SMTP引擎把窃取的信息通过电子邮件发送给病毒作者。病毒还会通过访问病毒网站进行自身的版本更新。KV用户只需升级病毒库，打开实时监控功能，即可全面查杀该网站上的恶意网页代码和木马程序。