Trojan/PSW.Passking.d
Trojan/PSW.Passking.d
病毒类型:木马
病毒大小:104600字节左右或152800字节左右
传播方式:网络
危害等级:**
“盗号王”木马病毒的最新变种Trojan/PSW.Passking.d和以前的变种一样,该病毒运行后会试图窃取用户的中游帐号密码、UC号码、边锋账号密码等多种私密信息,通过电子邮件发送给病毒作者。
具体技术特征如下:
1. 病毒运行后,将在%SystemDir%目录中创建一个隐含的DLL文件,文件名是随机字母组合,文件大小不定,约为152800字节。
2. 通过修改下列注册表项,使病毒DLL模块在系统启动时即可被加载执行。
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionexplorerShellExecuteHooks]
"{4D65F220-63CA-11D8-9BDB-FD58F515A839}" = maihook1005
[HKEY_CLASSES_ROOTCLSID{4D65F220-63CA-11D8-9BDB-FD58F515A839}]
"" = maihook1005
[HKEY_CLASSES_ROOTCLSID{4D65F220-63CA-11D8-9BDB-FD58F515A839}InprocServer32]
"" = <%s>.dll
[HKEY_CLASSES_ROOTCLSID{4D65F220-63CA-11D8-9BDB-FD58F515A839}ProgID]
"" = <%s>.shellexecutehook1005
[HKEY_CLASSES_ROOT<%s>.ShellExecuteHook1005]
"" = maihook1005
[HKEY_CLASSES_ROOT<%s>.ShellExecuteHook1005Clsid]
"" = {4d65f220-63ca-11d8-9bdb-fd58f515a839}
其中<%s>是病毒DLL名称,是随机字符串
3. 病毒会将自身复制到用户硬盘的随机文件夹中。在复制时,病毒从当前用户进程列表中选择目标文件名称。每次复制的病毒程序大小不定,约为104600字节。
4. 病毒试图窃取用户的中游帐号密码、UC号码、边锋账号密码等私密信息。通过自带的SMTP引擎以电子邮件的方式发送给病毒作者。
5. 检测并自动结束若干国内著名杀毒软件和防火墙的进程。一旦发现防火墙警告对话框弹出,病毒还企图自动对防火墙软件进行操作,把自身加入到允许访问网络的进程列表中。