|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac
2 p4 E* ~) ^- g0 l密码解霸V8.10。又称“密码结巴”
% F( G$ G- Y* I, ^" m2 p: ^# e! N2 m. c/ P! I
破坏方法:" e) a/ y9 p \* P
偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
( s5 K3 u7 y, ?4 L3 x; n& c! f! [$ b+ k+ s! A6 |
现象:
( t. e: o6 H6 U. |( H6 L) g7 y- }1。系统进程中有iexplore.exe运行,注意,是小写字母。6 z! b* u- d O6 U! H- m, J. `
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。* `6 Z7 S& S1 Y' ]; Q/ P
' P( ]0 ~( u, K
解决办法:
/ C" [# B9 E& Y+ ^% Q4 m1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
- ?) n. E# s% H( t2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。
- \0 R6 _7 E: j$ H7 j! j. U3 M, N5 S* N- B. ]! c
运行原理:) l# T7 c8 b! O8 e2 E
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
" H1 ^& d5 F( i0 P 2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe
$ w. D* G" T* i) o$ Y二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
& ]( S! i* q) {* z三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。8 I+ b, g! U4 v' p
四、下载“http://***web.jieba.net/download/power001.snk”
, L3 X1 R+ A+ E+ {+ h1 B& d+ V& a& _五、通过“pop3.sina.com.cn”发送信件。
+ V! g, t1 W G6 {% k$ S; ~9 b 这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27