該病毒屬木馬類,病毒運行後修改註冊表,添加啟動項,以達到隨機啟動的目的,關閉windows自動更新功能。該病毒可以盜取用戶網路遊戲魔獸世界的賬號與密碼。
基本介紹
- 中文名:Trojan-PSW.Win32.WOW.jc
- 危害等級:3
- 檔案長度:22,528位元組
- 加殼類型:PECompact v2.0
- 病毒類型:木馬
簡介,行為分析,清除方案,
簡介
病毒名稱: Trojan-PSW.Win32.WOW.jc
檔案 MD5: D2DA3BD014DDC536173E54B6E930BEB6
公開範圍: 完全公開
感染系統: windows98以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: PECompact v2.0
命名對照:驅逐艦[Trojan.PWS.WOW]
BitDefender [Generic.PWStealer.92B38553]
行為分析
1、病毒運行後修改註冊表,添加啟動項,以達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
鍵值: 字串: "Timer Service "="病毒路徑\病毒名"
2、關閉windows自動更新功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6
-b170-9a65bc822c77\
鍵值: 字串: "CurrentCacheFile"= "C:\WINDOWS\SoftwareDistribution
\EventCache\ {0A061A04-C000-4978-BB6E-239937E85E41}.bin"
3、該病毒可以盜取用戶網路遊戲魔獸世界的賬號與密碼。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
病毒路徑\病毒名
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\
鍵值: 字串: "Timer Service "="病毒路徑\病毒名"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-
43b6-b170-9a65bc822c77\
鍵值: 字串: "CurrentCacheFile"= "C:\WINDOWS\SoftwareDistrib
ution\EventCache\ {0A061A04-C000-4978-BB6E-239937E85E41}.bin"
