Win32.PSWTroj.WOW.d56

病毒別名：

中文名稱：影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為:

1、添加如下註冊表項使病毒自啟動：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Timer Service "%當前病毒檔案全路徑%"

2、通過查詢註冊表項：SOFTWARE\Blizzard Entertainment\World of Warcraft\InstallPath 來獲得魔獸世界的安裝路徑，在該路徑下搜尋名為realmlist.wtf的檔案，

判斷該檔案中是否有以下字元串來確定是否為國服一到六區的賬號，有則盜取賬號：

SET realmlist "cn1.grunt.wowchina.com"

SET realmlist "cn2.grunt.wowchina.com"

SET realmlist "cn3.grunt.wowchina.com"

SET realmlist "cn4.grunt.wowchina.com"

SET realmlist "cn5.grunt.wowchina.com"

SET realmlist "cn6.grunt.wowchina.com"

3、創建一個全局訊息鉤子WM_JOURNALRECORD，通過鉤子函式來截獲系統訊息，獲得當前視窗，判斷是否為魔獸世界視窗，是則獲得視窗內容進行盜號。

4、將獲得的魔獸世界賬號傳送到指定的網頁：http://ms.ye***.cn/ms/login.asp

5、由於對截獲的訊息處理不當，用戶中毒後會出現滑鼠和鍵盤使用失靈的狀況。

基本介紹