Win32.Troj.Wow.a

病毒名稱(中文): 魔獸世界木馬 病毒別名: Trojan-Spy.Win32.Agent.ed[AVP] 威脅級別: ★★☆☆☆ 病毒類型: 木馬程序 病毒長度: 92672 影響系統: Win9xWinNT 病毒行爲: 該病毒，偷取魔獸世界網絡遊戲帳號密碼，並發送給木馬種植者。木馬運行後，將自己改名爲與系統程序接近的文件名：ctfmonn.exe（正常文件爲ctfmon.exe），以迷惑用戶。並且，木馬會反複設置啓動項，以防止用戶將其從啓動項中移除。 1、該木馬生成以下文件 %System%\ctfmonn.exe（木馬本身，92672字節） %System%\pluswow.dll（163840字節） %System%\ntsoi.dll（24576字節） %System%表示系統目錄（如：C:\Windows\System32） 2、在注冊表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 添加 "plus"="%System%\ctfmonn.exe" 病毒會每兩秒設置該鍵一次，以防止用戶修改 3、嘗試在D、E、F盤下生成以下兩個文件 AutoRun.inf kernel.exe 使得用戶雙擊盤符時，運行木馬 4、使用以下字符作爲互斥量，以保證只有一個進程運行 "rrrrrrrrrrrrwowyeah" 5、查找以下窗口和類 魔獸世界 GxWindowClassD3d WSWINDOW 6、獲取鍵盤等信息，保存在一個名爲 "gbd" 的配置文件中 7、配置文件內容包括 區服：一區、二區、三區 鍵盤信息：如[End][Del]…… 8、木馬會將配置文件發往以下IP地址中： 202.101.35.253