|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac) _: I/ U! O+ D
密码解霸V8.10。又称“密码结巴”
l1 ]* U6 b& a5 c C5 Y$ h/ H' s0 f U
破坏方法:
* q$ D% M! M+ E* ~) p6 ^; a9 G偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。+ u, P0 W) Y6 c) P0 c. |
2 N% | D: k# m6 q/ G9 m0 Y* p
现象:
- C+ j9 D, s7 O& y1。系统进程中有iexplore.exe运行,注意,是小写字母。- I$ g# J& X6 j% ?& c
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
8 H9 k: P5 L2 h Q9 y6 Q) w$ M: M' o5 y
解决办法:! }$ r# ]9 k2 k$ F
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。/ e7 L1 q6 g: q& O! {
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。
; R$ h8 p, i Z0 b. J) {6 v- P" H4 N$ i) M) d! x
运行原理:, X5 F& @( C+ Z# A7 a& ]6 C
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”$ }! x9 C) B) k3 b8 e- m7 v
2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe! V9 r: E: E/ c& u% t1 G, c/ {
二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
( l1 n; Q8 h3 y; W/ _" l. c三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。
$ a. S4 L! p2 R$ M* G/ y4 ~: Z5 d四、下载“http://***web.jieba.net/download/power001.snk”: v! V1 N b& E: }' Z! U# Z
五、通过“pop3.sina.com.cn”发送信件。4 u1 F/ f2 \) |$ Z2 j
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27