Trojan/PSW.Lineage.cq“天堂杀手”变种cq是主要通过病毒网站,利用IE浏览器的MHT漏洞和CODEBASE漏洞传播的木马程序。该木马会记录用户键击,盗取“天堂”(网络游戏)的帐号密码,并通过其自带的SMTP引擎把获得的信息通过电子邮件发送给病毒作者。另外,该病毒还会自动升级,并会删除用户硬盘上的多种媒体文件,造成数据破坏。病毒运行后,在系统目录及Windows目录下创建文件user.txt、svchost.exe及ie.txt,用以记录所盗取的帐号密码、病毒版本等信息。修改注册表,以实现病毒程序的开机自启。删除Windows目录下的Media文件夹中所有后缀为rmi,mid,wav的媒体文件。造成Windows声音方案失效。挂接Windows钩子,监视用户当前窗口,当窗口标题为“Lineage Windows Client”等字串时,记录用户的键盘输入,定时通过SMTP引擎把窃取的信息通过电子邮件发送给病毒作者。访问病毒网站http://***ania.go.****.net/images/vs.txt,获取病毒最新版本信息,如果发现更新版本,则自动下载病毒文件,完成升级。
Trojan/StartPage.PagaSearch“初始页”变种是主要通过病毒网站,利用IE浏览器的MHT漏洞和CODEBASE漏洞传播的木马程序。该病毒通过编写IE插件及explorer shell扩展,修改IE及Explorer.exe程序的默认行为,在IE主窗口中添加Iframe子窗体等。当用户打开IE主程序或通过Explorer.exe对系统设置进行修改时,会自动连接带毒站点并提交收集到的用户系统信息。病毒运行后,在Windows目录下创建大量目录和文件,用于存放病毒本身、病毒启动信息等内容,修改注册表及system.ini文件,以实现病毒程序的开机自启,并达到修改IE默认首页、在IE主窗口中添加Iframe子窗体等目的。当用户通过Explorer.exe对系统设置进行修改时,会自动连接黑客指定站点并提交所盗取的用户系统信息。病毒还会枚举所有窗口,当发现窗口标题为“Thank you for choosing to be on our web site”时,将该窗口置顶显示。
