|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac8 i9 T( f9 i; C) [. b
密码解霸V8.10。又称“密码结巴”- L% j$ p' y* _& w% S( D; b/ K
' ]1 d0 r6 m0 ^9 t. \
破坏方法:
5 ~( [$ `1 Y8 f! w6 Y" C" s偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
/ t3 H3 M- C; X @+ v, Y
) |. `( d$ i0 }- W现象:
2 g4 ]1 U1 t( Q( p8 d2 q* b0 H1。系统进程中有iexplore.exe运行,注意,是小写字母。
% R) n# k, L; G% {0 r- I$ r2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
: p8 T, z1 c- l
2 ^8 X# Q. b6 b( L1 U% i解决办法:
( L- r( P, {: U E1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。* G( |2 p, k8 x6 X n7 {" |, L1 b* {
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。3 C2 F" w1 Q: ?0 h) f1 r( x; F7 Q
6 U/ I& ]5 m1 n( a' b" \0 f$ ]
运行原理:
$ e7 J2 d2 {$ l* o) D8 W$ f+ A% E一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
5 x/ `7 p' p5 N! P 2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe
) J: q; Z) d( i! M/ P* s- `二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。2 I: X" T. e8 t
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。1 W3 [- f) `% p- ?6 I
四、下载“http://***web.jieba.net/download/power001.snk”
5 p$ z9 {( A" h% d% D- B+ [五、通过“pop3.sina.com.cn”发送信件。6 u, `; F4 k# c( |2 } _# w
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27