|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac) I2 a! P8 A- h
密码解霸V8.10。又称“密码结巴”0 F7 P S" l0 v) O, k+ b6 V$ S
9 R& f6 ^7 R. R
破坏方法:
3 U$ V/ T0 {0 [) d; t2 ?偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
/ \& I4 S( h) w' \$ S8 O. W5 D- c
现象:' l3 ?, f! j7 e/ C
1。系统进程中有iexplore.exe运行,注意,是小写字母。
0 `9 b! R' S! ? s3 x2 B& ?2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
- w* H$ v4 W* l) H' t& m( l x
7 P8 p" t& z, P$ c x: \6 ?解决办法:* k3 g4 d, L( g
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。9 J; g5 m {( k5 p6 ^1 Q
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。
" j( @$ d8 y9 y) J* O: L5 b, c9 O# C; c# s4 l# Z
运行原理:
# w2 e; e5 K) E3 o* |一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
. G2 l C3 f0 J* E- X; }- q6 Z 2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe
: S% {+ Y) X5 [5 T8 d s2 u# {/ g二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。' J4 e/ V, @% Z7 R. b8 t
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。& x$ d( Q: x% `* B! Y
四、下载“http://***web.jieba.net/download/power001.snk”6 {* }0 a% ?# l) i+ C% t( K
五、通过“pop3.sina.com.cn”发送信件。, X% w: q. A0 d+ _
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27