Trojan/win32.WOW.fcj,該病毒為魔獸世界遊戲木馬,病毒運行後,創建互斥量,檢測註冊表是否存在魔獸遊戲註冊鍵值。
病毒標籤:,病毒描述:,清除方案:,
病毒標籤:
病毒名稱: Trojan/win32.WOW.fcj[Stealer]
病毒類型: 蠕蟲
檔案 MD5: 7A70C305218F89ED273458425E838A15
公開範圍: 完全公開
危害等級: 4
檔案長度: 22,776 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual C++ 6.0
病毒描述:
遍歷進程查找wow.exe、avp.exe、KVMonXP.exe進程,找到進程後釋放病毒檔案到%temp%臨時目錄下重命名為:WowInitcode.dat,將自身移動到該目錄下、並將屬性設定為隱藏,使用函式動態載入WowInitcode.dat病毒檔案,試圖將病毒衍生的檔案注入到所有進程中。
WowInitcode.dat病毒檔案分析:判斷自身是否在explorer.exe進程中,如是則設定訊息鉤子,創建互斥量,查找部分軟體類名及標題名,找到後則傳送關閉訊息,通過訊息鉤子截取魔獸世界遊戲賬號密碼相關信息,以URL方式傳送到病毒作者指定的地址中。
清除方案:
1、使用安天防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1)使用ATOOL管理工具,“進程管理”查找當前進程中包含的WowInitcode.dat模組,找到將其卸載掉。
(2)強行刪除病毒衍生的檔案
%Documents and Settings%\當前所在用戶\Local Settings\Temp\WowInitcode.dat
%Documents and Settings%\當前所在用戶\Local Settings\Temp\wsasystem.gif
