病毒名称(中文):
魔兽世界木马
病毒别名:
Trojan-Spy.Win32.Agent.ed[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
92672
影响系统:
Win9xWinNT
病毒行为:
该病毒,偷取魔兽世界网络游戏帐号密码,并发送给木马种植者。木马运行后,将自己改名为与系统程序接近的文件名:ctfmonn.exe(正常文件为ctfmon.exe),以迷惑用户。并且,木马会反复设置启动项,以防止用户将其从启动项中移除。
1、该木马生成以下文件
%System%\ctfmonn.exe(木马本身,92672字节)
%System%\pluswow.dll(163840字节)
%System%\ntsoi.dll(24576字节)
%System%表示系统目录(如:C:\Windows\System32)
2、在注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
添加
"plus"="%System%\ctfmonn.exe"
病毒会每两秒设置该键一次,以防止用户修改
3、尝试在D、E、F盘下生成以下两个文件
AutoRun.inf
kernel.exe
使得用户双击盘符时,运行木马
4、使用以下字符作为互斥量,以保证只有一个进程运行
"rrrrrrrrrrrrwowyeah"
5、查找以下窗口和类
魔兽世界
GxWindowClassD3d
WSWINDOW
6、获取键盘等信息,保存在一个名为
"gbd"
的配置文件中
7、配置文件内容包括
区服:一区、二区、三区
键盘信息:如[End][Del]……
8、木马会将配置文件发往以下IP地址中:
202.101.35.253