該病毒運行後,衍生病毒副本到系統目錄下,添加註冊表Hook項,以掛載病毒體啟動。
基本介紹
- 中文名:問道盜竊者
- 外文名:Trojan-PSW.Win32.OnLineGames.dqk
- 病毒類型:後門類
- 公開範圍:完全公開
危害情況,危害等級,檔案長度,感染系統,開發工具,加殼類型,病毒描述,本地行為,生成新檔案,篡改註冊表,竊取本地信息,截停進程,清除方案,軟體處理,手工清除,
危害情況
危害等級
4級
檔案長度
脫殼前11,429 位元組,脫殼後45,056 位元組
感染系統
Win98以上版本
開發工具
Microsoft Visual C++ 6.0
加殼類型
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
病毒描述
該病毒為一款針對網路遊戲《問道》的木馬程式,Hook遊戲進程asktao.mod進程截獲用戶名及密碼,讀取遊戲配置檔案config.ini獲取賬戶信息傳送出去。
本地行為
生成新檔案
檔案運行後會衍生副本:
%System32%\wddoor0.dll 14,848 位元組
篡改註冊表
新增註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks\
鍵值:{68F7767A-090C-4BBF-A015-720ACC6706E2}
字元串: "hook wd"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{68F7767A-090C-4BBF-A015-720ACC6706E2}\InprocServer32\
鍵值:@
字元串:"C:\WINDOWS\System32\wddoor0.dll"
竊取本地信息
讀取賬號參數:
Goup
Zone
截停進程
結束安全軟體進程:
FilMsg.exe
Twister.exe
RavMon.exe
PS: %System32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings
\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是C:\Windows\System
windowsXP中默認的安裝路徑是C:\Windows\System32
--------------------------------------------------------------------------------
清除方案
軟體處理
使用安天木馬防線可徹底清除此病毒 ( 推薦 )
手工清除
手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
explorer.exe。
(2)刪除病毒檔案:
%System32%\wddoor0.dll
(3)刪除病毒添加的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\ShellExecuteHooks\
鍵值:{68F7767A-090C-4BBF-A015-720ACC6706E2}
字元串: "hook wd"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{68F7767A-090C-4BBF-A015-720ACC6706E2}\InprocServer32\
鍵值:@
字元串:"%WinDir%\System32\wddoor0.dll
