Trojan-PSW.Win32.WOW.de

病毒木馬類,是專門盜取遊戲魔獸世界賬號密碼的病毒。病毒運行後釋放病毒檔案,修改註冊表鍵值,新建註冊表,添加啟動項,以達到隨機啟動的目的,病毒進程偽裝系統進程lsass.exe,區別是系統進程名為小寫lsass.exe,用戶名為system,而病毒進程名為大寫LSASS.EXE,用戶名為用戶機器名。並且在任務管理器中不能關閉病毒進程,需要用其他工具關閉。當用戶登入魔獸世界時,病毒會記錄用戶輸入的賬號和密碼,放在病毒釋放的病毒檔案%WINDIR%\io.sys.bak中。並以FTP的形式傳送給病毒作者。

基本介紹

  • 外文名:Trojan-PSW.Win32.WOW.de
  • 病毒類型木馬
  • 公開範圍:完全公開
  • 危害等級:中
概要,行為分析,清除方案,

概要

病毒名稱: Trojan-PSW.Win32.WOW. de
病毒類型: 木馬
檔案 MD5: 8C25E6C03FB4A961495D30C96DAAC5CE
公開範圍: 完全公開
危害等級: 中
檔案長度: 47,082 位元組
感染系統: Windows98以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: nSPack 3.1
命名對照: Symentec[Infostealer.Wowcraft]
Mcafee[無]

行為分析

1、病毒運行後釋放病毒檔案:
%WINDIR%\exert.exe
%WINDIR%\io.sys.bak
%WINDIR%\lsass.exe
%Program Files%\Common Files\intexplore
其中除%WINDIR%\io.sys.bak外均為病毒自身。
2、病毒運行後修改註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
新建鍵值: 字串: "默認"="WindowFiles"
原鍵值: 字串: "默認"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications \iexplore.exe\shell\open\
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
新建鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif" %1"
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command
新建鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif" -nohome"
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
新建鍵值: 字串: "默認"="INTEXPLORE.pif"
原鍵值: 字串: "默認"="IEXPLORE.EXE"
3、新建註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "ToP "="C:\WINDOWS\LSASS.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
鍵值: 字串: "Check_Associations "="No"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
鍵值: 字串: "C:\Program Files\common~1\INTEXPLORE.pif
"="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\
鍵值: 字串: "默認"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles
\DefaultIcon
鍵值: 字串: "默認"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles
\Shell\Open\
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell
\Open\Command
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell
\Open\Command
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\ INTEXPLORE.pif
鍵值: 字串: "默認"="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\LocalizedString
鍵值: 字串: "默認"="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\command\
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\command
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
4、當用戶登入魔獸世界時,病毒會記錄用戶輸入的賬號和密碼,記錄在病毒釋放的病毒檔案%WINDIR%\io.sys.bak。並以FTP的形式傳送給病毒作者。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線進程管理”關閉病毒進程
(2) 刪除病毒檔案
%WINDIR%\exert.exe
%WINDIR%\io.sys.bak
%WINDIR%\lsass.exe
%Program Files%\Common Files\intexplore
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
改回被修改的註冊表項,修改後的鍵值應為原鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
新建鍵值: 字串: "默認"="WindowFiles"
原鍵值: 字串: "默認"="exefile"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\
新建鍵值: 字串: " command "=""C:\Program Files
原鍵值: 字串: " command "=""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
\{871C5380-42A0-1069-A2EA
08002B30309D}\shell\OpenHomePage\Command
新建鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
""
原鍵值: 字串: "默認"="C:\Program Files\Internet Explorer
\iexplore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
新建鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
\" %1"
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell
\open\command
新建鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
\" -nohome"
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew
\command
新建鍵值: 字串: "默認"=""C:\Program Files\common~1
\INTEXPLORE.pif" %1"
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell
\open\command
新建鍵值: 字串: "默認"=""C:\Program Files\common~1
\INTEXPLORE.pif" -nohome"
原鍵值: 字串: "默認"=""C:\Program Files\Internet Explorer
\iexplore.exe" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
新建鍵值: 字串: "默認"="INTEXPLORE.pif"
原鍵值: 字串: "默認"="IEXPLORE.EXE"
刪除以下註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "ToP "="C:\WINDOWS\LSASS.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
鍵值: 字串: "Check_Associations "="No"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\
鍵值: 字串: "C:\Program Files\common~1\INTEXPLORE.pif "="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\
鍵值: 字串: "默認"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\DefaultIcon
鍵值: 字串: "默認"="%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WindowFiles\Shell\Open\Command
鍵值: 字串: "默認"="C:\WINDOWS\EXERT.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\ INTEXPLORE.pif
鍵值: 字串: "默認"="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\LocalizedString
鍵值: 字串: "默認"="INTEXPLORE"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\command\
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\INTEXPLORE.pif\shell\open\command
鍵值: 字串: "默認"=""C:\Program Files\common~1\INTEXPLORE.pif""

熱門詞條

聯絡我們