|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac2 w3 h* \9 _1 C1 J$ i% h/ }# U
密码解霸V8.10。又称“密码结巴”# F. m, i+ D: Z5 S {9 c5 P
* M9 {1 k9 J+ A( F' E* K( g破坏方法:! E) V2 T8 s- l$ u1 Z( D
偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
/ h8 [/ ?- y# G5 b+ o1 B$ ~
6 h( R' A/ y7 [3 P3 X; b5 l$ H现象:
/ t5 |% G' i& E3 Y9 f. q1。系统进程中有iexplore.exe运行,注意,是小写字母。3 C7 o1 O! O0 `- \* y! S! `" G* T
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
' y( N! {/ y7 }! M# M. Y8 ?7 c' [9 f+ P# n! G* z
解决办法:
+ R- o \, V( w; `; L1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
/ V( R8 ~( h6 K: Q! r' f9 u2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。
7 [) }+ o# q7 S, {; |- f1 m* t5 l% l* A. }! t+ ?1 e' F0 b
运行原理:" i+ Z( N/ P% e; M( L9 K; R& P+ l0 |1 K
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
# |! m) b* @9 f0 a7 X1 Y 2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe
3 X' N q/ X8 V/ s4 }' H! Y% {* j二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
8 ^2 a) x4 R" o9 P6 I三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。% k9 s( N- [: s
四、下载“http://***web.jieba.net/download/power001.snk”
5 N8 u6 R! k. p2 g/ k五、通过“pop3.sina.com.cn”发送信件。
) p, N7 b. {4 m7 o1 ^. K 这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27