Win32.Troj.PSWWow.x

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

45343

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为windows平台下的盗取多款游戏帐号密码、装备等信息的木马，木马运行后将自身复制成多个副本，然后修改多处注册表，使得用户手工难以清除，病毒运行过程中同时在后台监视中止打开注册、打开任务治理器操作，使得用户中毒后无法进行注册表操作和无法治理进程。

当网络状态正常时，病毒会尝试连接病毒作者指定的特定网站进行病毒更新。

病毒主要通过软件捆绑或欺骗方式进行传播。

1、病毒运行时将自身复制成为以下相关文件:

%SystemRoot%\smss.exe

%SystemRoot%\finder.com

%SystemRoot%\explorer.com

%SystemRoot%\1.com

%SystemRoot%\exeroute.exe

%SystemRoot%\System32\rundll32.com

%SystemRoot%\System32\finder.com

%SystemRoot%\System32\command.pif

%SystemRoot%\System32\msconfig.com

%SystemRoot%\System32\dxdiag.com

%SystemRoot%\System32\regedit.com

%ProgramFiles%\InternetExplorer\iexplore.com

%ProgramFiles%\InternetExplorer\iexplore.pif

d:\pagefile.pif

%SystemRoot%\Debug\debugProgram.exe

2、病毒同时会在d盘下生成:

d:\autorun.inf

用以实现用户打开D盘时运行病毒程序。

3、病毒运行后在后台记录以下相关系统的帐号密码信息:

魔兽世界

征途

梦幻西游online

传奇世界

QQ聊天软件

4、病毒运行过程中通过查找窗体名是否包含"注册表"、"任务治理器"等字样进行中止用户打开注册表或任务治理器。

5、病毒通过修改以下多处注册表项实现病毒的自启动：

[HKEY_CLASSES_ROOT\.lnk\ShellNew]

command=rundll32.comappwiz.cpl,NewLinkHere%1

[HKEY_CLASSES_ROOT\.bfc\shellnew]

command="%SystemRoot%\system32\rundll32.com%SystemRoot%\system32\syncui.dll,Briefcase_Create%2!d!%1"

[HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command]

@="rundll32.comshell32.dll,Control_RunDLL%1,%*"

[HKEY_CLASSES_ROOT\dunfile\shell\open\command]

@="%SystemRoot%\system32\rundll32.comNETSHELL.DLL,InvokeDunFile%1"

[HKEY_CLASSES_ROOT\file\shell\open\command]

@="rundll32.comurl.dll,FileProtocolHandler%l"

[HKEY_CLASSES_ROOT\htmlfile\shell\print\command]

@="rundll32.com%SystemRoot%\System32\mshtml.dll,PrintHTML"%1""

[HKEY_CLASSES_ROOT\inffile\shell\Install\command]

@="%SystemRoot%\System32\rundll32.comsetupapi,InstallHinfSectionDefaultInstall132%1"

[HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command]

@="finder.comshdocvw.dll,OpenURL%l"

[HKEY_CLASSES_ROOT\scrfile\shell\install\command]

@="finder.comdesk.cpl,InstallScreenSaver%l"

[HKEY_CLASSES_ROOT\scriptletfile\Shell\GenerateTypelib\command]

@=""C:\WINNT\System32\finder.com"C:\WINNT\System32\scrobj.dll,GenerateTypeLib"%1""

[HKEY_CLASSES_ROOT\telnet\shell\open\command]

@="finder.comurl.dll,TelnetProtocolHandler%l"

[HKEY_CLASSES_ROOT\Unknown\shell\openas\command]

@="%SystemRoot%\system32\finder.com%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL%1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command]

@="%SystemRoot%\system32\rundll32.comNETSHELL.DLL,InvokeDunFile%1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command]

@="finder.comshdocvw.dll,OpenURL%l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command]

@="finder.comdesk.cpl,InstallScreenSaver%l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command]

@="%SystemRoot%\system32\finder.com%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL%1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SharedTools\MSInfo\ToolSets\MSInfo\hdwwiz]

command="C:\WINNT\System32\command.pif"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command]

@=""C:\ProgramFiles\InternetExplorer\iexplore.com"-nohome"

[HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command]

@=""C:\ProgramFiles\InternetExplorer\iexplore.com"%1"

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]

@=""C:\ProgramFiles\InternetExplorer\iexplore.com""

[HKEY_CLASSES_ROOT\ftp\shell\open\command]

@=""C:\ProgramFiles\InternetExplorer\iexplore.com"%1"

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]

@=""C:\ProgramFiles\InternetExplorer\iexplore.com"-nohome"

[HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command]

@=""C:\ProgramFiles\common~1\iexplore.pif""

[HKEY_CLASSES_ROOT\http\shell\open\command]

@=""C:\ProgramFiles\common~1\iexplore.pif"-nohome"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\http\shell\open\command]

@=""C:\ProgramFiles\common~1\iexplore.pif"-nohome"

[HKEY_CLASSES_ROOT\Drive\shell\find\command]

@="%SystemRoot%\explorer.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]

Shell="Explorer.exe1"

[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]

TProgram="C:\WINNT\SMSS.EXE"

[HKEY_CLASSES_ROOT\winfiles\defaulticon]

@="%1"

[HKEY_CLASSES_ROOT\winfiles\shell\open\command]

@="C:\WINNT\ExERoute.exe"%1"%*"

[HKEY_CLASSES_ROOT\.exe]

@="winfiles"

6、病毒同时会修改/添加以下注册表项:

添加注册表项:

[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]

Check_Associations="No"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap]

ProxyBypass=0x1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap]

IntranetName=0x1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap]

UNCAsIntranet=0x1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C]

BaseClass="Drive"

[HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\MicrosoftSoftDebuger\Settings]

GUID="{SK42J7-SBEE1H-YS6EF7-F98A8T923FA5}"

7、当网络可用时病毒尝试访问以下网站进行病毒的升级操作:

http://upd.et****.com.cn/upd/xyqupdate.htm?ID=****