Win32.Troj.PSWLineage.hu简介_Win32.Troj.PSWLineage.hu个人资料_Win32.Troj.PSWLineage.hu微博_百科网
A-A+

Win32.Troj.PSWLineage.hu简介_Win32.Troj.PSWLineage.hu个人资料_Win32.Troj.PSWLineage.hu微博

2018-10-09 01:08:19 科学百科 阅读 22 次

 

概述/Win32.Troj.PSWLineage.hu 编辑

病毒别名:
处理时间:
威胁级别:★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:

 

特性/Win32.Troj.PSWLineage.hu 编辑

这个是一个天堂木马病毒,它会监控天堂窗口,然后窃取用户输入的天堂的帐户和密码,并把记录的信息通过邮件发送出去.该病毒具有一定的反安全软件的能力,给用户带来很大的损失.

1.文件增加:
%system%W3E.dll
%systemroot%ED5S.exe

2.修改hosts文件:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.kasperksy-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.symantec.com
127.0.0.1 www.viruslist.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 ftp.avp.ru
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 ftp.kaspersky.com
127.0.0.1 downloads-us22.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-us2l.kaspersky-labs.com
127.0.0.1 downloads-eu2l.kaspersky-labs.com
127.0.0.1 v4.windowsupdate.microsoft.com
127.0.0.1 v5.windowsupdate.microsoft.com
127.0.0.1 windowsupdate.microsoft.com


3.增加注册表起始项,使病毒开机运行
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
CD6G
C:WINNTED5S.exe

4.结束以下进程和窗口:
KVMonXP.KXP
KVXP.KXP
KAVSVC.EXE
kav.exe
MAILMON.EXE
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
江民杀毒软件
天网防火墙企业版
RavMon.exe
RavMonClass

5.会从固定网站下载更新病毒本身的文件:
http://www.xxx.com/hehe/123.exe
6.把窃取的用户信息存放在下面的文件里,然后通过邮件发送出去:
c:VGT6.txt

7.还会修改防火墙的规则,从而逃避防火墙的监控.