WOW盜賊
病毒名稱:WOW盜賊
英文名稱:Win32.Troj.Wow.a
病毒類型:木馬
影響系統:Win9x / WinNT3
中文名稱:魔獸世界木馬
病毒類型:木馬
影響系統:Win9x / WinNT
病毒行為:
該病毒,偷取魔獸世界網路遊戲帳號密碼,並傳送給木馬種植者。木馬運行後,將自己改名為與系統程式接近的檔案名稱:ctfmonn.exe(正常檔案為ctfmon.exe),以迷惑用戶。並且,木馬會反覆設定啟動項,以防止用戶將其從啟動項中移除。
1、該木馬生成以下檔案
%System%\ctfmonn.exe(木馬本身,92672位元組)
%System%\pluswow.dll(163840位元組)
%System%\ntsoi.dll(24576位元組)
%System% 表示系統目錄(如:C:\Windows\System32)
2、在註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
添加
"plus" = "%System%\ctfmonn.exe"
病毒會每兩秒設定該鍵一次,以防止用戶修改
3、嘗試在D、E、F盤下生成以下兩個檔案
AutoRun.inf
kernel.exe
使得用戶雙擊盤符時,運行木馬
4、使用以下字元作為互斥量,以保證只有一個進程運行
"rrrrrrrrrrrrwowyeah"
5、查找以下視窗和類
魔獸世界
GxWindowClassD3d
WSWINDOW
6、獲取鍵盤等信息,保存在一個名為
"gbd"
的配置檔案中
7、配置檔案內容包括
區服:一區、二區、三區
鍵盤信息:如[End] [Del]……
8、木馬會將配置檔案發往以下IP位址中:
202.101.35.253
