病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
196608
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取魔兽游戏密码的木马病毒,病毒采用进程注入的方式运行,具有很
高的隐蔽性。
1.该木马病毒本身是一个动态链接文件,不能自主运行,必须通过木马释放器进行加载。
2.木马释放器(毒霸可查,Win32.Troj.PswWow.d.212480)将该木马释放并拷贝到系统
盘根目录下。命名为main.dat,然后利用explorer.exe、iexplore.exe等系统进程进
行加载,将木马拷贝到系统目录下,命名为KB896445.log并利用rundll32.exe将该木
马建立为系统服务,在注册表中会留下以下键值:
[HKLM\SYSTEM\CurrentControlSet\Services\NetWorkLogon]
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="rundll32KB896445.log,start"
"DisplayName"="NetworkLogon"
"ObjectName"="LocalSystem"
"Description"="支持网络上计算机远程登陆事件。假如此服务被停用,网络登陆将不可用。假如此服务被禁用,任何依靠它的服务将无法启动。"
3.当病毒以系统服务形式运行时,会尝试将自身注入explorer.exe、iexplore.exe以及
wow.exe进程。监视用户窗口,窃取游戏相关信息。
