Trojan-PSW.Win32.WOW.dq

Trojan-PSW.Win32.WOW.dq,計算機病毒。該病毒運行後,釋放大量病毒檔案到系統目錄下。添加註冊表啟動項,以達到開機載入病毒體的目的。修改檔案關聯,以使用戶運行程式時同時啟動病毒。盜取用戶QQ、魔獸、征途等遊戲帳號。該病毒占用大量系統資源。

 

病毒綜述

病毒名稱: Trojan-PSW.Win32.WOW.dq
中文名稱: 盜號者
病毒類型: 木馬類
檔案 MD5: F5645DF1B6349C6C2FFF7A95278B8C18
公開範圍: 完全公開
危害等級: 中等
檔案長度: 49,241 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: NsPacK V3.7 -> LiuXingPing *
  nSPack 3.1 -> North Star/Liu Xing Ping [Overlay]
命名對照: 驅逐艦[Trojan.PWS.WOW]
  Ewido[Trojan.WOW.bv] 
  

病毒描述

該病毒運行後,釋放大量病毒檔案到系統目錄下。添加註冊表啟動項,以達到開機載入病毒體的目的。修改檔案關聯,以使用戶運行程式時同時啟動病毒。盜取用戶QQ魔獸征途等遊戲帳號。該病毒占用大量系統資源
  
行為分析:
1、釋放下列副本與檔案
%System32%\ command.pif
%System32%\dxdiag.com
%System32%\finder.com
%System32%\msconfig.com
%System32%\regedit.com
%System32%\rundll32.com
%Windir%\1.com
%Windir%\exeroute.exe
%Windir%\explorer.com
%Windir%\finder.com
%Windir%\winlogon.exe
%Program Files%\Common Files\iexplore
2、新建註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\Program Files\common~1
\iexplore.pif鍵值: 字元串: "iexplore"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\WINDOWS\ExERoute.exe鍵值: 字元串: "ExERoute"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\@
鍵值: 字元串: "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell\Open\Command\@
鍵值: 字元串: "C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\@
鍵值: 字元串: ""C:\Program Files\common~1\iexplore.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Torjan Program
鍵值: 字元串: "C:\WINDOWS\WINLOGON.EXE"
3、病毒嘗試關閉包含下列字元的進程:
ravmon.exe
trojdie*
kpop*
ccenter*
*assistse*
kpfw*
agentsvr*
kv*
kreg*
iefind*
iparmor*
svi.exe
uphc*
rulewize*
fygt*
rfwsrv*
rfwma*
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
  
--------------------------------------------------------------------------------
清除方案:
  1、使用安天木馬防線可徹底清除此病毒(推薦)
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
WINLOGON.EXE
(2) 刪除病毒檔案:
%System32%\ command.pif
%System32%\dxdiag.com
%System32%\finder.com
%System32%\msconfig.com
%System32%\regedit.com
%System32%\rundll32.com
%Windir%\1.com
%Windir%\exeroute.exe
%Windir%\explorer.com
%Windir%\finder.com
%Windir%\winlogon.exe
%Program Files%\Common Files\iexplore
(3) 將%windir%下的regedit.exe改名為regedit.com並運行regedit.com
(4) 刪除病毒添加的註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\Program Files\common~1
\iexplore.pif 鍵值: 字元串: "iexplore"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\WINDOWS\ExERoute.exe 鍵值: 字元串: "ExERoute"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon
\@ 鍵值: 字元串: "%1"
(5) 恢復病毒修改的註冊表項目:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\winfiles\Shell\Open\Command\@鍵值: 字元串: " "%1" %*"

相關搜尋

熱門詞條

聯絡我們