Trojan-PSW.Win32.WOW.el木馬程式有計畫的盜取用戶在 WoW 伺服器上的帳戶密碼。該木馬自身是一個 Windows PE EXE 檔案,使用 Delphi 編寫並且使用 NsPack 加密。加密後檔案大小 136069 位元組,並且未加密的檔案近似 316Kb 大小。
基本介紹
- 外文名:Trojan-PSW.Win32.WOW.el
- 性質:木馬程式
- 作用:盜取用戶在WoW伺服器上帳戶密碼
- 屬於:Windows PE EXE 檔案
種 類,詳細技術,安裝,行為分析,以下進程,請求,
種 類
PSW Trojan 字串8
詳細技術
字串9
安裝
字串8
一旦運行,該木馬將在 C 盤根目錄下創建一個 DLL 檔案: 字串4
c:\nxldr.dat 字串8
它隨後運行該檔案並且調用 "start" 功能:
字串3
一旦運行,該 DLL 檔案複製自身執行檔到 Windows 系統目錄:
字串3
%System32%\KB896425.log 字串7
該木馬創建一個服務名為 NetWork ,為了隨系統每次啟動而確保自動載入木馬:
字串7
[HKLM\System\CurrentControlSet\Services\NetWorkLogon]
行為分析
字串4
一旦運行,該 DLL 檔案讀取進程列表。它隨後將從列表中隨機選擇進程並將自身裝入該進程,同時也會嵌入
以下進程
字串8
EXPLORER.EXE 字串5
IEXPLORE.EXE 字串9
該 DLL 檔案將安裝一個鉤子來傳送 WS2_32.dll 功能,用來跟蹤用戶的 HTTP 請求。包含以下字元的 POST
請求
字串3
/vk/unblock_deal.php
字串9
該木馬讀取以下參數值:
字串9
account= 字串1
pin= 字串3
如果 URL 中包含字元 /dologin.php ,該木馬將讀取以下列出的參數值:
字串4
loginname=
字串6
&password= 字串4
如果進程中有 WOW.EXE 進程,該木馬將讀取對話框輸入,並且將同時截圖。
字串2
該木馬將傳送獲得的信息到遠程惡意用戶的網站。
字串9
該木馬將從瀏覽器快取中刪除所有包含字元 "the9.com" 的連結。
清除指導: 字串1
1 使用任務管理器終止木馬進程。
字串4
2 刪除原始木馬檔案。 ( 它的位置將在受害主機最先感染的位置 ) 。
字串7
3 刪除木馬創建的檔案:
字串3
%System32%\KB896425.log 字串8
c:\nxldr.dat 字串2
4 刪除以下註冊表鍵值: 字串1
