- 最后登录
- 2012-2-9
- 在线时间
- 5196 小时
- 注册时间
- 2002-1-15
- 阅读权限
- 255
- 帖子
- 17760
- 精华
- 41
- UID
- 1437137
 
- 铜钱
- 16047
- 元宝
- 400
- 威望
- 43888
- 积分
- 22856
|
发表于 2007-11-20 16:53:33
|显示全部楼层
病毒名称(中文):Win32.PSWTroj.Lineage.73770
# X$ E: Q' q$ _. L4 H( [! X, Q威胁级别:★☆☆☆☆
& r, M A5 M+ e! Q, W病毒类型:木马" h/ U* p( i5 {8 D4 i) \0 l
病毒长度:73770
' A# ^4 V$ a/ }; s7 u影响系统:Win9x WinMe WinNTWin2000 WinXP Win2003/ U$ |1 P- d& r9 c/ N
0 c6 S( x# X6 p: F- v
病毒行为:- K/ u- Y0 ^6 E2 j2 b
这是一个盗号木马,专偷天堂号。病毒运行后,将自身复制至SendTo文件夹(Sendto是发送到文件夹,比如发送到回收站、发送邮件等),并释放病毒文件,并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的,用户信息,包括帐号、密码等。
" l7 ~- p& u5 k$ V( l2 k* F. E1.生成文件2 U; o, n3 V4 H: p' U- u; b
%profile%@\SendTo\Winfzgd.EXE6 D8 L9 @1 k6 @! C( H. b
%profile%@\SendTo\Winfzgd.hlp
2 P8 _4 F/ J) u. s! `& ?& q2.生成注册表项
|; j. j w) I4 f- \( a* xHKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13, U% q$ R7 [6 B$ k1 v+ g+ M2 l
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunBianFeng "%profile%\SendTo\Winfzgd.EXE"7 V' y2 H% t. a/ j. d
3.通过注入进程的方式盗取网络游戏天堂用户信息,然后发送至以下网址:
& {! m, p% N) ^) P; yhxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s; ]% ^, w4 `: p0 K- h" b+ j
/ R L' l& k; U# C解决方案:
6 F; A, | V+ Q/ ?3 W/ b1.删除以下文件
+ c1 e8 o& h) B7 i%profile%@\SendTo\Winfzgd.EXE& ~- Q1 a* A: G# Z0 P
(%profile%缺省为当前计算机用户配置的文件夹,比如:C:\Documents and Settings\Administrator\SendTo\,当管理员是其它名字时,搜索这个名字下的sendto文件夹)2 `, Z* C O' u
%profile%@\SendTo\Winfzgd.hlp* @/ D! {& ^: K2 g; h2 \
1 _4 t# T5 Y p% q, \
2.使用金山清理专家2.1将病毒修改的加载项删除。清理专家的用法,请参考新手入门之《清理专家简易手册》" Z( c; v8 O# F# W7 a8 j/ ]3 [
- r# E! L) d) n Q, k2 e3 M v0 {: u/ Y; Q2 X: _9 N( @- [; k5 a9 h6 n
有关下载器的防范原则:
& P0 D! f) J. E0 g+ r* J" t/ i/ G
1.木马大多数情况下使用社会工程学欺骗,来入侵电脑,用户应对小心浏览一些看起来不太正规的网站。% w$ ]6 @6 W$ |
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
+ V6 q1 [' u% z& J7 J& J+ _& `3.安装杀毒软件,并保持监控有效。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡