|
|
发表于 2006-12-30 01:59:31
|
显示全部楼层
系统进程--伪装的病毒iexplore.exeTrojan.PowerSpider.ac
' v& O7 ~ ^( `6 C7 `密码解霸V8.10。又称“密码结巴”
: { o- N3 s$ l6 m& g
. q; W0 i" H* p4 d+ D破坏方法:
$ O7 l% D, l) e4 \# R$ C- I偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
2 ^( A) R6 J! S$ I+ D9 t1 I' h" P) n& w
现象:' x( o9 G1 |, w' B) c% _, ^
1。系统进程中有iexplore.exe运行,注意,是小写字母。
. ~ x) |4 B, j8 u4 s5 c6 } D' E2。搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
5 Z1 j7 W) o/ d8 o0 Y9 u& J
% n! d2 R E/ P: D解决办法:- N6 t* Z" ~' S1 K
1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
7 m# ?5 F( W5 P2 p2。到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe,删除其键值。
1 w' ]% q0 w3 u# G i% X1 V' D% [+ g( A/ N0 x9 V' T
运行原理:$ Y. X9 x# a) e( T! N: W" }
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”+ @( q. {: v T) z0 y
2。添加注册表启动项:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run “mssysint”= iexplore.exe# d/ K9 ^ j( g
二、系统中的病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。4 m; j3 N1 I. @
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。2 \ r9 `+ C) z' Z. m" K5 _
四、下载“http://***web.jieba.net/download/power001.snk”: `6 V2 V1 T) f! V$ ^/ f
五、通过“pop3.sina.com.cn”发送信件。
8 q" ~6 P+ {0 m p& A. b 这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。 |
|
雷达卡
发表于 2006-12-30 01:20:27