|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac
3 D$ A4 a( s( J- R0 C7 e" b密码解霸V8.10。又称“密码结巴”
; G8 q3 W- s9 R7 u
9 X5 x' \) h) [% L# G( O1 S+ R破坏方法:
l# P8 U T* k3 f偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。' s" e3 j9 f6 q r0 o$ O- A
& X! e4 E3 _$ |6 K8 N+ }! N现象:& X9 t7 @2 t. a7 c7 t
1。系统进程中有iexplore.exe运行,注意,是小写字母。1 J7 z4 \. ~5 s, v* C% n( {; W9 T
2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
0 `8 k( I- d1 \% K
* z4 W# @0 r* D- g" X, z" g! E解决办法:
0 t% ?: D) p5 h8 w: N& I1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。1 d' x" b0 j) L3 }2 G% u
2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。0 f+ j' Y9 l( l# G- k
& x6 u. n7 v" e# X9 m
运行原理:) B. ]0 J: C3 E( F) p; t; G
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”9 }. m1 _; N# W* U) S- x8 r
2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe
" `/ o+ u) o2 I. z1 k, n6 p) o二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
, e n }" m# Z4 W$ W/ s三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。8 Z" d# Q) ^. D! m6 d' n) O
四、下载“http://***web.jieba.net/download/power001.snk”
, Z1 z' U) |) z3 L5 Z& L( g五、通过“pop3.sina.com.cn”发送信件。 p) A' b& P) o9 ^+ a4 U# i
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27