該病毒運行後,釋放若干病毒副本到%Windows%與%\System32\%目錄下,修改註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefiles為winfiles,新建鍵值,把exe檔案與病毒檔案相關聯,並添加啟動項,以達到開機後運行病毒與打開任意程式即運行病毒的目的。該病毒會盜取“征途”、“魔獸”等網路遊戲的個人信息,發到指定網站。
基本介紹
- 中文名:魔獸盜號者
- 外文名:Trojan-PSW.Win32.WOW.bv
- 病毒類型:木馬類
- 危害等級:中等
簡介,病毒描述,
簡介
病毒名稱: Trojan-PSW.Win32.
中文名稱: 魔獸盜號者
病毒類型: 木馬類
檔案 MD5: 9145DFB96BD910A30C439F35AF7B310D
公開範圍: 完全公開
危害等級: 中等
檔案長度:46,211 位元組
感染系統: Win9x以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: nSPack 3.1 -> North Star/Liu Xing Ping
命名對照: ewido[Trojan.]
病毒描述
行為分析:
1、釋放下列副本與檔案
%\Program Files\Common Files\% iexplore.pif
%\Windows\% 1
%\Windows\% ExERoute Trojan-PSW.Win32.
%\Windows\% explore 同上
%\Windows\% finder 同上
%\Windows\% KB890859.log 同上
%\Windows\% WINLOGON.EXE 同上
%\Windows\%LastCood\INF\oem5.inf
%\Windows\%LastCood\INF\oem5.PNF
%\System32\%command 指向MS-Dos的捷徑
%\System32\% dxdiag 同上
%\System32\% finder 同上
%\System32\% msconfig 同上
%\System32\% regedit 同上
%\System32\% rundll32 同上
D:\autorun.inf
D:\pagefile.pif
2、新建註冊表鍵值:
在此鍵值下新建若干病毒釋放檔案相關鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\15\Shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\@
鍵值: 字元串: "C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\@
鍵值: 字元串:""C:\ProgramFiles\common~1\iexplore.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Torjan Program
鍵值: 字元串: "C:\WINDOWS\WINLOGON.EXE"
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery
\LastGood\
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery
\LastGood\INF/oem5.inf
鍵值: DWORD: 1 (0x1)
3、病毒會檢測下列進程,並關閉
ravmon.exe 瑞星的實時監控組件
trojdie* 江民監控程式
kpop*
*assistse*
agentsvr*
kv* 江民殺軟進程
kreg*
iefind*
iparmor* 木馬剋星
svi.exe
uphc*
rulewize*
fygt*
rfwma*
4、通過修改WOW/\realmlist.wtfr檔案中地址,可轉換伺服器。
us.logon.worldofwarcraft 美服
eu.logon.worldofwarcraft 歐服
tw.logon.worldofwarcraft 台服
蒐集信息包括;
companyname;filedescription;fileversion;internalname;legalcopyright;
originalfilename;productname;productversion;comments;legaltr
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
推薦軟體
使用安天木馬防線可徹底清除此病毒(推薦)。
手動清除
手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
WINLOGN.EXE
(2) 刪除病毒檔案
%\Program Files\Common Files\%
%\Windows\% 1
%\Windows\% ExERoute
%\Windows\% explore
%\Windows\% finder
%\Windows\% KB890859.log
%\Windows\% WINLOGON.EXE
%\Windows\%LastCood\INF\oem5.inf
%\Windows\%LastCood\INF\oem5.PNF
%\System32\%command 指向MS-Dos的捷徑
%\System32\% dxdiag
%\System32\% finder
%\System32\% msconfig
%\System32\% regedit
%\System32\% rundll32
D:\autorun.inf
D:\pagefile.pif
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
修改HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
為HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
\shell\open\command
"%1" %*
修改鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\@
鍵值: 字元串: "C:\WINDOWS\ExERoute.exe "%1" %*"
為HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
\shell\open\command
鍵值: 字元串: "%1" %*
刪除註冊表項:HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\15\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Torjan Program
鍵值: 字元串: "C:\WINDOWS\WINLOGON.EXE"
WOW中毒表現
被盜的情況肯定是你突然掉線,然後上線,提示輸入將軍令的密碼,此時的界面屬於盜號木馬偽造的,你輸入的是盜號者在另一端用你賬號登入所顯示的輸入,即盜號者和你同時登入,但是盜號不知道你的將軍令,用木馬修改你客戶端,當你輸入將軍令後把將軍令密碼回傳,達到盜號的目的。
