病毒簡介
病毒名稱: Trojan-PSW.Win32.WOW.pq
病毒類型: 木馬
檔案 MD5: 2E216D6F39D7A805B6FA02E51C967C4B
公開範圍: 完全公開
危害等級: 3
檔案長度: 19,717 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 6.0
加殼類型: WinUpack 0.39
命名對照: 驅逐艦[Trojan.PWS.Wow]
AVG [Trojan. WOW.pq]
病毒描述
該病毒為木馬類,病毒運行後衍生病毒檔案到臨時資料夾 %Temp% 下,並重命名為 svchost.exe ,同時生成兩個 DLL 檔案。修改註冊表,添加啟動項,以達到隨機啟動的目的。
該病毒可以盜取用戶網路遊戲 WOW( 魔獸世界 ) 的賬號與密碼。病毒運行後監視 wow.exe 進程,當 wow.exe 開啟後記錄鍵盤操作,把記錄的賬號與密碼傳送給病毒作者。
行為分析
1、 病毒運行後衍生病毒檔案到臨時資料夾 %Temp% 下,並重命名為 svchost.exe ,同時生成兩個 DLL 檔案:
%Temp%\She1132.dll
%Temp%\~Tm31.tmp.dll
%Temp%\svchots.exe
2 、 修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : "Winlogin"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\svchots.exe"
3 、 該病毒可以盜取用戶網路遊戲 WOW( 魔獸世界 ) 的賬號與密碼。病毒運行後監視 wow.exe 進程,當 wow.exe 開啟後記錄鍵盤操作,把記錄的賬號與密碼傳送給病毒作者:
文本字元串參考位於 ~Tm31_tm:.text ,項目 0
地址 =1000103F
反彙編 =push ~Tm31_tm.10003068
文本字元 =ASCII "WoW.exe"
文本字元串參考位於 ~Tm31_tm:.text ,項目 1
地址 =100012B4
反彙編 =mov edi,~Tm31_tm.10003024
文本字元 =ASCII "%s?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d"
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案
1、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程
(2) 刪除病毒檔案:
%Temp%\She1132.dll
%Temp%\~Tm31.tmp.dll
%Temp%\svchots.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:字串:"Winlogin"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\
svchots.exe"