读书笔记摘抄新闻资讯天堂杀手
天堂杀手是一种计算机病毒,为木马型,主要通过病毒网站,利用IE浏览器的MHT漏洞和CODEBASE漏洞传播。病毒会记录用户键盘输入,盗取天堂游戏的帐号密码,通过其自带的SMTP引擎把获得的非法信息通过电子邮件传送给病毒作者。同时,病毒还会自动升级,并会删除用户硬碟上的多种媒体档案,造成数据破坏。
基本介绍
- 中文名:天堂杀手
- 病毒类型:木马
- 病毒大小:39936位元组
- 传播方式:网路
简介
病毒名称:“天堂杀手”(Trojan/PSW.Lineage.cq)
病毒类型:木马
病毒大小:39936位元组
传播方式:网路
危害程度:★★
案例
2005年1月17日,江民反病毒中心截获“天堂杀手”木马的最新变种Trojan/PSW.Lineage.cq。
此变种主要通过病毒网站,利用IE浏览器的MHT漏洞和CODEBASE漏洞传播。
病毒会记录用户键盘输入,盗取天堂游戏的帐号密码,通过其自带的SMTP引擎把获得的非法信息通过电子邮件传送给病毒作者。同时,病毒还会自动升级,并会删除用户硬碟上的多种媒体档案,造成数据破坏。
此变种主要通过病毒网站,利用IE浏览器的MHT漏洞和CODEBASE漏洞传播。
病毒会记录用户键盘输入,盗取天堂游戏的帐号密码,通过其自带的SMTP引擎把获得的非法信息通过电子邮件传送给病毒作者。同时,病毒还会自动升级,并会删除用户硬碟上的多种媒体档案,造成数据破坏。
病毒具体技术特徵如下:
1.病毒运行后,将创建下列档案:
%SystemDir%\user.txt, 帐号密码记录档案
%WinDir%\svchost.exe, 39936位元组, 病毒自身
c:\program files\internet explorer\ie.txt, 9位元组, 病毒版本信息档案
1.病毒运行后,将创建下列档案:
%SystemDir%\user.txt, 帐号密码记录档案
%WinDir%\svchost.exe, 39936位元组, 病毒自身
c:\program files\internet explorer\ie.txt, 9位元组, 病毒版本信息档案
2. 在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal" = %WinDir%\svchost.exe
这样,在Windows启动时,病毒就可以自动执行。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KAVPersonal" = %WinDir%\svchost.exe
这样,在Windows启动时,病毒就可以自动执行。
3. 删除%WinDir%\\Media资料夹中所有后缀为rmi,mid,wav的媒体档案。造成Windows声音方案失效。4. 挂接Windows钩子,监视用户当前视窗,当视窗标题为“Lineage Windows Client”等字串时,记录用户的键盘输入,定时通过SMTP引擎把窃取的信息通过电子邮件传送给病毒作者。