Win32.Troj.Wow.bd

病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 135680 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個盜取魔獸世界帳號的木馬。病毒會添加系統服務隨系統啓動自動運行，並監視系統中的遊戲進程，盜取帳號信息並提交到指定的網址。 1、病毒運行後釋放如下病毒文件： C:\nxldr.dat C:\WINDOWS\system32\KB8964225.log C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp 2、修改注冊表，創建如下服務，以便隨系統自動啓動： HKLM\System\CurrentControlSet\Services\NetWorkLogon HKLM\System\CurrentControlSet\Services\NetWorkLogon "Type"=0x110 HKLM\System\CurrentControlSet\Services\NetWorkLogon "Start"=0x2 HKLM\System\CurrentControlSet\Services\NetWorkLogon "ErrorControl"=0x0 HKLM\System\CurrentControlSet\Services\NetWorkLogon "ImagePath"="rundll32.exeKB8964225.log,start" HKLM\System\CurrentControlSet\Services\NetWorkLogon "DisplayName"="NetworkLogon" HKLM\System\CurrentControlSet\Services\NetWorkLogon "Security"=0x2001F HKLM\System\CurrentControlSet\Services\NetWorkLogon "ObjectName"="LocalSystem" HKLM\System\CurrentControlSet\Services\NetWorkLogon "Description"="支持網絡上計算機遠程登陸事件。假如此服務被停用，網絡登陸將不可用。假如此服務被禁用，任何依靠它的服務將無法啓動。" HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv "Type"=0x1 HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv "ErrorControl"=0x0 HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv "Start"=0x4 HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv "ImagePath"="\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp" 3、插入conime.exe和ctfmon.exe進程,反複添加病毒服務。 4、監視系統中的遊戲進程，若發現則讀取帳號密碼等相關信息並提交到指定的網址。