天堂杀手病毒

病毒名称：“天堂杀手”（Trojan/PSW.Lineage.cq）

病毒类型：木马

病毒大小：39936字节

传播方式：网络

危害程度：★★

2005年1月17日，江民反病毒中心截获“天堂杀手”木马的最新变种Trojan/PSW.Lineage.cq。

此变种主要通过病毒网站，利用IE浏览器的MHT漏洞和CODEBASE漏洞传播。

病毒会记录用户键盘输入，盗取天堂游戏的帐号密码，通过其自带的SMTP引擎把获得的非法信息通过电子邮件发送给病毒作者。同时，病毒还会自动升级，并会删除用户硬盘上的多种媒体文件，造成数据破坏。

病毒具体技术特征如下：

1. 病毒运行后，将创建下列文件：

%SystemDir%user.txt, 帐号密码记录文件

%WinDir%svchost.exe, 39936字节， 病毒自身

c:program filesinternet explorerie.txt, 9字节， 病毒版本信息文件

2. 在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"KAVPersonal" = %WinDir%svchost.exe

这样，在Windows启动时，病毒就可以自动执行。

3. 删除%WinDir%\Media文件夹中所有后缀为rmi，mid，wav的媒体文件。造成Windows声音方案失效。

4. 挂接Windows钩子，监视用户当前窗口，当窗口标题为“Lineage Windows Client”等字串时，记录用户的键盘输入，定时通过SMTP引擎把窃取的信息通过电子邮件发送给病毒作者。

5. 通过访问病毒网站http://***ania.go.****.net/images/vs.txt，获取病毒最新版本信息，如果发现更新版本，则自动下载病毒文件，完成升级。