病毒名称(中文):
魔兽李鬼木马73728
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
偷密码的木马
病毒长度:
73728
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该木马程序运行后会伪装成标题名为金山网镖的窗口,并会对运行着的进程遍历查找,判定是否存在WoW.exe(魔兽世界)进程,获取WoW.exe进程的窗口文本信息,将获取到的信息发送到指定的邮箱和网页,而且该木马会把自身复制到C盘根目录。
1.病毒运行后会产生以下文件
各分区根目录产生explorer.exe和autorun.inf文件
%windows%\system32\explorer.exe
2.各分区产生的autorun.inf所指向的文件是explorer.exe,该inf文件各explorer.exe都位是分区根目录,当用户左键双击进入该盘时,病毒随之触发。
3.修改注册表的文件关联项,主要修改的项有
HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\inifile\shell\open\command
HKEY_CLASSES_ROOT\txtfile\shell\open\command
被修改后的打开方式后的键都指向C:\WINDOWS\system32\explorer.exe
一旦运行ini,txt,exe文件,C:\WINDOWS\system32\explorer.exe便会被执行
4,修改注册表启动项,以实现开机自启动,具体键如下
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run该键值指向正在运行的病毒体的路径
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run该键值指向%windows%system32\explorer.exe
4.运行后的explorer.exe木马进程会遍历系统进程,查找是否存在WoW.exe进程,一旦发现WoW.exe进程,则获取魔兽世界的帐号信息,然后将帐号信息内容
发送到指定的网页和邮箱,具体信息为
www.o****s.com
7****7@163.com
7*****1@163.com
5.该病毒运行时会出一个窗口标题为"金山网镖"的窗口,由于该木马没有好的隐蔽手段,很轻易会清除。