系統(tǒng)進(jìn)程－－偽裝的病毒 iexplore.exe

Trojan.PowerSpider.ac       
破壞方法：密碼解霸V8.10。又稱“密碼結(jié)巴” 

偷用戶各種密碼，包含：游戲密碼、局域網(wǎng)密碼、騰訊QQ賬號和密碼、POP3 密碼、Win9x緩存密碼及撥號賬號等等。這個木馬所偷密碼的范圍很廣，對廣大互聯(lián)網(wǎng)用戶的潛在威脅也巨大。 

現(xiàn)象：1。系統(tǒng)進(jìn)程中有iexplore.exe運(yùn)行，注意，是小寫字母 
    2。搜索該程序iexplore.exe,不是位于C盤下的PROGRAMME文件夾，而是WINDOWS32文件夾。 

iexplore.exe專殺
解決辦法：1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全刪除之。 
        2。到注冊表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion 
\\Run   “mssysint”= iexplore.exe,刪除其鍵值 


運(yùn)行原理： 
一、1。病毒把自身復(fù)制到系統(tǒng)目錄，命名為“iexplore.exe” 
  2。添加注冊表啟動項 ： 
  HKEY_LOCAL_MACHINE   Software\\Microsoft\\Windows\\CurrentVersion 
\\Run   “mssysint”= iexplore.exe 
二、系統(tǒng)中的 病毒運(yùn)行后，釋放“psinthk.dll”，通過該動態(tài)連接庫提供的“AddHook”、“ DelHook”掛接全局消息鉤子，截取用戶的各種輸入。從中取得用戶的各種密碼。 
三、病毒使用內(nèi)存映射“PwdBox”、“PowerSpider”作為運(yùn)行標(biāo)記，防止自己重復(fù)運(yùn)行。 
四、下載“http://***web.jieba.net/download/power001.snk” 
五、通過“pop3.sina.com.cn”發(fā)送信件。 
  這個病毒對發(fā)送的郵件中的信息進(jìn)行了加密，如果沒有密碼，不能看到其中的信息。

此文章與我中的毒不對應(yīng)，可以用下一篇文章的解決方法解決問題

最新評論