Trojan-PSW.Win32.WOW.dq:病毒簡介,病毒描述,清除方案,

Trojan-PSW.Win32.WOW.dq

該病毒運行後，釋放大量病毒檔案到系統目錄下。添加註冊表啟動項，以達到開機載入病毒體的目的。修改檔案關聯，以使用戶運行程式時同時啟動病毒。盜取用戶QQ、魔獸、征途等遊戲賬號。該病毒占用大量系統資源。

基本介紹

中文名：盜號者
外文名：Trojan-PSW.Win32.WOW.dq
病毒類型：木馬類
公開範圍：完全公開
危害等級：中等

病毒簡介,病毒描述,清除方案,

病毒簡介

病毒名稱： Trojan-PSW.Win32.WOW.dq

中文名稱：盜號者

檔案 MD5： F5645DF1B6349C6C2FFF7A95278B8C18

檔案長度： 49,241 位元組

感染系統： Win9X以上系統

開發工具： Microsoft Visual Basic 5.0 / 6.0

加殼類型： NsPacK V3.7 -> LiuXingPing *

nSPack 3.1 -> North Star/Liu Xing Ping [Overlay]

命名對照：驅逐艦[Trojan.PWS.WOW]

Ewido[Trojan.WOW.bv]

病毒描述

行為分析：

1、釋放下列副本與檔案

%System32%\ command.pif

%System32%\dxdiag.com

%System32%\finder.com

%System32%\msconfig.com

%System32%\regedit.com

%System32%\rundll32.com

%Windir%\1.com

%Windir%\exeroute.exe

%Windir%\explorer.com

%Windir%\finder.com

%Windir%\winlogon.exe

%Program Files%\Common Files\iexplore

2、新建註冊表鍵值：

HKEY_CURRENT_USER\Software\Microsoft\Windows

\ShellNoRoam\MUICache\C:\Program Files\common~1

\iexplore.pif鍵值: 字元串: "iexplore"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\ShellNoRoam\MUICache\C:\WINDOWS\ExERoute.exe鍵值: 字元串: "ExERoute"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\@

鍵值: 字元串: "%1"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell\Open\Command\@

鍵值: 字元串: "C:\WINDOWS\ExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet

\iexplore.pif\shell\open\command\@

鍵值: 字元串: ""C:\Program Files\common~1\iexplore.pif""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run\Torjan Program

鍵值: 字元串: "C:\WINDOWS\WINLOGON.EXE"

3、病毒嘗試關閉包含下列字元的進程：

ravmon.exe

trojdie*

kpop*

ccenter*

*assistse*

kpfw*

agentsvr*

kv*

kreg*

iefind*

iparmor*

svi.exe

uphc*

rulewize*

fygt*

rfwsrv*

rfwma*

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

WINLOGON.EXE

(2) 刪除病毒檔案：

%System32%\ command.pif

%System32%\dxdiag.com

%System32%\finder.com

%System32%\msconfig.com

%System32%\regedit.com

%System32%\rundll32.com

%Windir%\1.com

%Windir%\exeroute.exe

%Windir%\explorer.com

%Windir%\finder.com

%Windir%\winlogon.exe

%Program Files%\Common Files\iexplore

(3) 將%windir%下的regedit.exe改名為regedit.com並運行regedit.com

(4) 刪除病毒添加的註冊表項

HKEY_CURRENT_USER\Software\Microsoft\Windows

\ShellNoRoam\MUICache\C:\Program Files\common~1

\iexplore.pif　鍵值: 字元串: "iexplore"

HKEY_CURRENT_USER\Software\Microsoft\Windows

\ShellNoRoam\MUICache\C:\WINDOWS\ExERoute.exe　鍵值: 字元串: "ExERoute"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon

\@　鍵值: 字元串: "%1"

(5) 恢復病毒修改的註冊表項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes

\winfiles\Shell\Open\Command\@鍵值: 字元串: " "%1" %*"

Trojan-PSW.Win32.WOW.dq

基本介紹

病毒簡介

病毒描述

清除方案

相關詞條

熱門詞條