【病毒别名】：Trojan/PSW.Lineage.b.maker[KV]

【威胁级别】：★★

【中文名称】：天堂杀手

【病毒类型】：木马

【影响系统】：Win9x / WinNT

【病毒行为】:

这是一个天堂游戏盗号木马的生成器。它可以配置两个发信方式，一种是网页方式，一种是邮件方式。它号称能清除内存中的木马，其实病不能。它生成的木马会复制到C:\\Program Files\\目录，同时释放一个Dll文件并注入到系统的Explorer.exe进程中，以隐藏自身。它还关闭一些常见的反病毒软件，然后专门盗取天堂密码，发送到指定网页或者指定邮件地址。

1.生成的木马长度为221696字节。

2.生成的木马将自己复制为C:\\Program Files\\rundll32.exe，并且释放文件%System32%\\ct1dll.dll（195584字节），并将其注入到Explorer.exe进程，以隐藏自己的目的。

3.生成的木马将自己加载到注册表启动项目：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"loadMect1"="C:\\Program Files\\rundll32.exe"

它的配置信息存放在注册表中：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Hacker软件

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Hacker软件\\ct1 MM]

"Edithtml"="<配置的网页>"

"EditMxMail"="<配置的邮箱>"

4.生成的木马会关闭一些常见的病毒监控软件，如网镖，天网防火墙，密码防盗专家等，然后盗取天堂游戏的帐号和密码，发送到配置好的网页或者邮箱。