11.11-11.17流行病毒排行榜NO.4：Win32.PSWTroj.Lineage.73770 Lineage, 排行榜

铁军

病毒名称(中文):Win32.PSWTroj.Lineage.737706 M4 p, F8 @1 a/ j" S; W$ o  s6 _6 H% f
威胁级别:★☆☆☆☆* g% D0 V7 o6 |- J
病毒类型:木马4 ~% D- O& j$ \
病毒长度:737704 L* z  Z& G- h5 h+ S4 f. w
影响系统:Win9x WinMe WinNTWin2000 WinXP Win2003
( h0 Y/ w1 r" s2 x; j3 P  W 5 z( A. _/ ?- x9 i0 f& Y5 ^
病毒行为:' J$ e& r5 n7 ^4 o
这是一个盗号木马，专偷天堂号。病毒运行后，将自身复制至SendTo文件夹（Sendto是发送到文件夹，比如发送到回收站、发送邮件等），并释放病毒文件，并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的，用户信息，包括帐号、密码等。9 P4 D6 c8 W! p7 c- e
1.生成文件
- J# `' O! j+ l' b/ f; c8 }+ x%profile%@\SendTo\Winfzgd.EXE( O" S; T' V5 u7 L, l
%profile%@\SendTo\Winfzgd.hlp1 ^* w: p1 c1 R
2.生成注册表项
) `& ?% d% Z" a; pHKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13' e# M+ h% e( h; W1 ]; z& A
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunBianFeng "%profile%\SendTo\Winfzgd.EXE"
' S" `) I. W& y- m3 p( E3.通过注入进程的方式盗取网络游戏天堂用户信息，然后发送至以下网址：
3 c& u" x" r8 ghxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s
- R6 }# o# F* w) V) H/ d) ^/ h9 V9 U4 i) v' s3 k
解决方案：$ x. o9 F4 t" o. I" _4 r2 ]
1.删除以下文件
) U  ]' d9 U: f, c/ u3 t/ I%profile%@\SendTo\Winfzgd.EXE3 R5 h$ s- B: Z$ u# u
（%profile%缺省为当前计算机用户配置的文件夹，比如：C:\Documents and Settings\Administrator\SendTo\，当管理员是其它名字时，搜索这个名字下的sendto文件夹）/ U6 j9 W7 P3 |, G5 ]& r5 F5 N9 o5 e& z
%profile%@\SendTo\Winfzgd.hlp$ q# I. c: E. b

+ z9 j9 Q( x' F0 f2.使用金山清理专家2.1将病毒修改的加载项删除。清理专家的用法，请参考新手入门之《清理专家简易手册》
" H4 I- }+ C9 ?$ _) X2 ?. J; U' N4 G0 ]5 G
+ W) H, R2 n/ a
有关下载器的防范原则：
' ], T8 G- S1 D% S) G% i; ~* y+ M& ]* n6 a$ ?8 A1 e% w8 `
1.木马大多数情况下使用社会工程学欺骗，来入侵电脑，用户应对小心浏览一些看起来不太正规的网站。
! {6 v* R5 z( S- `( M5 e) _" C: d2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
# W- B1 z& |. Q7 k5 F# d7 J3.安装杀毒软件，并保持监控有效。