病毒名称(中文):Win32.PSWTroj.Lineage.73770
威胁级别:★☆☆☆☆
病毒类型:木马
病毒长度:73770
影响系统:Win9x WinMe WinNTWin2000 WinXP Win2003
病毒行为:
这是一个盗号木马,专偷天堂号。病毒运行后,将自身复制至SendTo
文件夹(Sendto是发送到文件夹,比如发送到回收站、发送邮件等),并释放病毒文件,并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的,用户信息,包括帐号、密码等。
1.
生成文件
%profile%@\SendTo\Winfzgd.EXE
%profile%@\SendTo\Winfzgd.hlp
2.
生成注册表项
HKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunBianFeng "%profile%\SendTo\Winfzgd.EXE"
3.
通过注入进程的方式盗取网络游戏天堂用户信息,然后发送至以下网址:
hxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s
解决方案:
1.删除以下文件
%profile%@\SendTo\Winfzgd.EXE
(%profile%缺省为当前计算机用户配置的文件夹,比如:C:\Documents and Settings\Administrator\SendTo\,当管理员是其它名字时,搜索这个名字下的sendto文件夹)
%profile%@\SendTo\Winfzgd.hlp
2.使用金山清理专家2.1将病毒修改的加载项删除。清理专家的用法,请参考新手入门之
《清理专家简易手册》
有关下载器的防范原则:
1.木马大多数情况下使用社会工程学欺骗,来入侵电脑,用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件,并保持监控有效。
