|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac
+ @& F) ^% w- T密码解霸V8.10。又称“密码结巴”- ^# V: W5 E! `+ e9 L" X3 `
, @( ?4 Z W& C2 u* e
破坏方法:3 Z% r5 s9 G2 W. M7 X
偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。) C ^7 d4 F# C. S: _
6 q0 A/ r" f6 Y' Y7 N! G现象:
0 l0 Z5 v1 s. J+ E$ D6 R- U1。系统进程中有iexplore.exe运行,注意,是小写字母。
+ e8 G. V0 O* h c4 L1 r" ^2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
1 I! m+ I! Q9 M# e) H4 f5 }* p- D
" o' i1 d3 k5 K解决办法:8 i4 Y& B9 M2 Q0 Q+ Z/ r5 ]
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。/ k5 j& v6 ]* h3 J0 @8 A
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。4 j% a( i0 b( U/ ]1 F0 k7 |' B
# u2 e p* o ?7 ~! p运行原理:; e4 U7 \$ X2 N& J
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
) f2 @9 }5 C" i) V 2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe9 M% j) ?7 s0 i2 c9 J
二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。- G/ L# n2 J% ]: B" [5 S
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。1 C0 P7 ~8 o/ Y# y4 ~8 x- ~
四、下载“http://***web.jieba.net/download/power001.snk”0 r# V4 A# y. G* B4 S, q
五、通过“pop3.sina.com.cn”发送信件。# e" Z: M2 P# O: z
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27