灰狼
   
|
分享:
▲
這是中了毒 ~
用卡巴可即完全修復~
病毒名稱:特洛伊病毒Win32.Lineage.S
其它名稱:W32/Delf.LR@pws (F-Secure), TROJ_DELF.RM (Trend), Trojan.Jasbom (Symantec), PWS-Lineage (McAfee), Win32/MM1!PWS!Trojan, Trojan-PSW.Win32.Delf.fz (Kaspersky)
病毒屬性:特洛伊木馬 危害性:中等危害 流行程度:
具伐介纏:
病毒特性:
Win32.Lineage.S是一種盜竊密碼的特洛伊病毒。它通過HTML.Lineage.S特洛伊病毒生成並運行,HTML.Lineage.S是一個CHM文件。特洛伊病毒是大小為50,688字節,生成並加載一個大小為23,040字節以UPX加殼的DLL文件。
感染方式:
執行時,Win32. Lineage.S拷貝自己到Windows XP, NT and 2000系統的以下位瞞:
%System%\Explorer.exe
為了在每次系統啟動時運行病毒,病毒會囊改以下註冊表:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%System%\explorer.exe"
在Windows9X、ME系統中,病毒複製到以下位瞞:
%System%\internet.exe
%Windows%\rundll32.exe
特洛伊還會在%System%目錄生成一個名為"htdll.dll"的DLL文件。這個DLL文件用來竊取被感染機器上的密碼和敏感信息。
注:'%System%' 和 '%Windows%'都是可變路徑。病毒通過查詢操作系統來決定當前這些文件夾的位瞞。System 默認的安裝路徑,在Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\ System32; 95,98 和 ME 的是C:\Windows\ System; XP 的是C:\Windows\ System32。 Windows 默認的安裝路徑,在Windows 2000 and NT默認的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
危害:
竊取敏感信息
為了記錄某些應用軟件的信息,特別是遊戲軟件的"Lineage",特洛伊生成一個文本文件 "C:\GaMeJTT1.TXT"。它會記錄下按鍵和鼠標移動進入應用軟件的窗口。記錄的資料可能是用戶名和密碼,也可能保存日誌文件。特洛伊可能將日誌文件發送到特定站點或者發送到遠程HTTP服務器。
終止進程
特洛伊終止以下進程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE
關閉窗口
特洛伊關閉包含以下標題的窗口:
RavMon.exe
ZoneAlarm
|
