Win32.Troj.Wow.a是一種病毒,該病毒,偷取魔獸世界網路遊戲賬號密碼,並傳送給木馬種植者。木馬運行後,將自己改名為與系統程式接近的檔案名稱:ctfmonn.exe(正常檔案為ctfmon.exe),以迷惑用戶。並且,木馬會反覆設定啟動項,以防止用戶將其從啟動項中移除。
基本介紹
- 中文名:魔獸世界木馬
- 外文名:Win32.Troj.Wow.a
- 別名:Trojan-Spy.Win32.Agent.ed[AVP]
- 處理時間:2005-05-22
- 威脅級別:★★
- 影響系統:Win9x / WinNT
- 病毒類型:木馬
病毒行為
1、該木馬生成以下檔案
%System%\ctfmonn.exe(木馬本身,92672位元組)
%System%\pluswow.dll(163840位元組)
%System%\ntsoi.dll(24576位元組)
%System% 表示系統目錄(如:C:\Windows\System32)
2、在註冊表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
添加
"plus" = "%System%\ctfmonn.exe"
病毒會每兩秒設定該鍵一次,以防止用戶修改
3、嘗試在D、E、F盤下生成以下兩個檔案
AutoRun.inf
kernel.exe
使得用戶雙擊盤符時,運行木馬
"rrrrrrrrrrrrwowyeah"
5、查找以下視窗和類
魔獸世界
GxWindowClassD3d
WSWINDOW
6、獲取鍵盤等信息,保存在一個名為
"gbd"
的配置檔案中
7、配置檔案內容包括
區服:一區、二區、三區
鍵盤信息:如[End] [Del]……
8、木馬會將配置檔案發往以下IP位址中:
202.101.35.253
