魔兽木马由VC编写,激活后于C:\PRogram Files\NetMeeting\生成副本,并修改注册表,开机启动。检测魔兽世界进程,记录其键盘输入操作,保存至avpms.cfg并发送木马作者……
文件名称:avpms.exe
文件大小:13872 bytes
病毒命名:
卡巴斯基—Trojan-PSW.Win32.WOW.abn
AVG—PSW.OnlineGames.OCF
DrWeb—Trojan.PWS.Wsgame.origin
加壳方式:UPack
编写语言:Microsoft Visual C++ 6.0
病毒类型:魔兽世界盗号木马
文件md5:06fbc12f0fa935b93844f9aea6e1a0e0
病毒描述:
该病毒由VC编写,激活后于C:\Program Files\NetMeeting\生成副本,并修改注册表,开机启动。通过检测网游魔兽世界的进程(Wow.exe),记录其键盘输入(密码)操作,保存至avpms.cfg并发送木马作者。
行为分析:
1、释放病毒副本:
C:\Program Files\NetMeeting\avpms.cfg 824 字节
C:\Program Files\NetMeeting\avpms.dat 8258 字节
C:\Program Files\NetMeeting\avpms.exe 116368 字节
2、添加注册表,开机自启:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avpms
注册表值 avpms = REG_SZ,"C:\Program Files\NetMeeting\avpms.exe "
3、avpms.dat注入EXPlorer,设置全局挂钩,检测魔兽世界游戏进程启动,并监视其键盘(帐号密码)输入操作。
4、保存的键盘操作,保存至avpms.cfg,并发送外部。
解决方法:
1、 http://gudugengkekao.ys168.com/下载
PowerRmv和SREng
2、打开PowerRmv,选上抑制对象生成,填入:
C:\Program Files\NetMeeting\avpms.cfg
C:\Program Files\NetMeeting\avpms.dat
C:\Program Files\NetMeeting\avpms.exe
2、打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
3、重启电脑,修改魔兽世界密码。(如果有)