系統(tǒng)進(jìn)程－－偽裝的病毒 iexplore.exe

Trojan.PowerSpider.ac       
破壞方法：密碼解霸V8.10。又稱(chēng)“密碼結(jié)巴” 

偷用戶(hù)各種密碼，包含：游戲密碼、局域網(wǎng)密碼、騰訊QQ賬號(hào)和密碼、POP3 密碼、Win9x緩存密碼及撥號(hào)賬號(hào)等等。這個(gè)木馬所偷密碼的范圍很廣，對(duì)廣大互聯(lián)網(wǎng)用戶(hù)的潛在威脅也巨大。 

現(xiàn)象：1。系統(tǒng)進(jìn)程中有iexplore.exe運(yùn)行，注意，是小寫(xiě)字母 
    2。搜索該程序iexplore.exe,不是位于C盤(pán)下的PROGRAMME文件夾，而是WINDOWS32文件夾。 

iexplore.exe專(zhuān)殺
解決辦法：1。到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全刪除之。 
        2。到注冊(cè)表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion 
\\Run   “mssysint”= iexplore.exe,刪除其鍵值 


運(yùn)行原理： 
一、1。病毒把自身復(fù)制到系統(tǒng)目錄，命名為“iexplore.exe” 
  2。添加注冊(cè)表啟動(dòng)項(xiàng) ： 
  HKEY_LOCAL_MACHINE   Software\\Microsoft\\Windows\\CurrentVersion 
\\Run   “mssysint”= iexplore.exe 
二、系統(tǒng)中的 病毒運(yùn)行后，釋放“psinthk.dll”，通過(guò)該動(dòng)態(tài)連接庫(kù)提供的“AddHook”、“ DelHook”掛接全局消息鉤子，截取用戶(hù)的各種輸入。從中取得用戶(hù)的各種密碼。 
三、病毒使用內(nèi)存映射“PwdBox”、“PowerSpider”作為運(yùn)行標(biāo)記，防止自己重復(fù)運(yùn)行。 
四、下載“http://***web.jieba.net/download/power001.snk” 
五、通過(guò)“pop3.sina.com.cn”發(fā)送信件。 
  這個(gè)病毒對(duì)發(fā)送的郵件中的信息進(jìn)行了加密，如果沒(méi)有密碼，不能看到其中的信息。

此文章與我中的毒不對(duì)應(yīng)，可以用下一篇文章的解決方法解決問(wèn)題

最新評(píng)論