词条 | Win32.Troj.Gamania.a |
释义 | 病毒别名:Trojan-PSW.Win32.Gamania.a[AVP] 处理时间: 威胁级别:★★ 中文名称: 病毒类型:木马 影响系统:Win9x / WinNT 病毒行为: 这是一个盗取天堂帐号信息的木马病毒。该病毒首先会尝试关闭一些常用病毒防火墙和一些反木马程序,如金山网镖、瑞星防火墙、天网防火墙、木马克星等。然后就挂钩系统的鼠标和键盘消息,截取用户的天堂游戏帐号信息,并将这些帐号信息发送到木马种植者预定的邮箱。 1.创建信号量tt1MMa防止多个实例同时运行。 2.WinNT下将自己复制为C:\\Program Files\\explorer.exe,释放病毒文件%System%\\htdll.dll(Win32.Troj.PSWLineage.be)。 Win9X下将自己复制为%System32%\\INTERNAT.EXE和%SystemRoot%\\RUNDLL32.EXE,释放病毒文件%System%\\htdll.dll (Win32.Troj.PSWLineage.be),并将自己注册位后台服务进程,从而在任务管理器中隐藏自己。 3.修改注册表。 在注册表中添加启动项: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ "sys_Runtt1"="C:\\Program Files\\explorer.exe" 4.查找窗口名和窗口类为: RavMon.exe RavMonClass 天网防火墙个人版 Tapplication 天网防火墙企业版 TForm1 噬菌体 TfLockDownMain ZoneAlarm ZAFrameWnd 的窗口并关闭它们。 终止进程: EGHOST.EXE MAILMON.EXE KAVPFW.EXE IPARMOR.EXE 5.下载指定网络文件到本地计算机运行。 6.病毒将释放的文件htdll.dll注入到Explorer.exe进程中,然后就挂钩系统的鼠标和键盘消息,窃取用户天堂游戏密码,通过网页或者直接发送给木马种植者。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。