|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac4 q+ |/ K+ s# N B
密码解霸V8.10。又称“密码结巴”! r) A: f$ q2 ^* I0 G9 J2 i/ {% D
( W- @" U# w) r
破坏方法:
7 B9 s( _: B$ H' g; ~/ k" m偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。$ w" e( L: i5 T9 D8 z
% K1 ^/ P+ B1 Z# j0 m# [: |
现象:7 z0 N0 V6 M6 r& I# i- N$ B. A a: j
1。系统进程中有iexplore.exe运行,注意,是小写字母。" U0 r/ t7 R1 H8 s( N2 [
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。# T$ L+ X% H. A8 a' _5 Z {
. ?# n% s' S) h" h% \; V
解决办法:* e" V" {0 K7 E4 h
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
/ B6 h# J1 @( ?* t2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。
. D3 t' n/ k: d. ?1 v2 r- \7 q! S! R- |: ~1 [: t# ?- M3 ~6 s
运行原理:
2 s- q$ b& z) {: j9 \, z8 F: ?' _一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
9 X4 f4 s$ Z- }: Z" b 2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe0 t# W9 T( }2 w: V) J7 _( |
二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
' a& S* ^. k: R* f2 J( {三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。
- z5 K0 O, k1 ^; n, y四、下载“http://***web.jieba.net/download/power001.snk”9 |+ _5 ^! G+ h) @2 Y, z
五、通过“pop3.sina.com.cn”发送信件。
+ S0 D) T- {* t& [ 这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27