病毒簡介
病毒名稱: Trojan-PSW.Win32.WOW.bv
中文名稱: 魔獸盜號者
病毒類型: 木馬類
檔案 MD5: 9145DFB96BD910A30C439F35AF7B310D
公開範圍: 完全公開
危害等級: 中等
檔案長度:46,211 位元組
感染系統: Win9x以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼類型: nSPack 3.1 -> North Star/Liu Xing Ping
命名對照: ewido[Trojan.WOW.bv]
病毒描述:
該病毒運行後,釋放若干病毒副本到%Windows%與%\System32\%目錄下,修改註冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefiles為winfiles,新建鍵值,把exe檔案與病毒檔案相關聯,並添加啟動項,以達到開機後運行病毒與打開任意程式即運行病毒的目的。該病毒會盜取“征途”、“魔獸”等網路遊戲的個人信息,發到指定網站。
行為分析:
1、釋放下列副本與檔案
%\Program Files\Common Files\% iexplore.pif
%\Windows\% 1.com
%\Windows\% ExERoute.com Trojan-PSW.Win32.WOW.bv
%\Windows\% explore.com 同上
%\Windows\% finder.com同上
%\Windows\% KB890859.log 同上
%\Windows\% WINLOGON.EXE 同上
%\Windows\%LastCood\INF\oem5.inf
%\Windows\%LastCood\INF\oem5.PNF
%\System32\%command 指向MS-Dos的捷徑
%\System32\% dxdiag.com 同上
%\System32\% finder.com 同上
%\System32\% msconfig.com 同上
%\System32\% regedit.com 同上
%\System32\% rundll32.com 同上
D:\autorun.inf
D:\pagefile.pif
2、新建註冊表鍵值:
在此鍵值下新建若干病毒釋放檔案相關鍵值
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\15\Shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\@
鍵值: 字元串: "C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\@
鍵值: 字元串:""C:\ProgramFiles\common~1\iexplore.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Torjan Program
鍵值: 字元串: "C:\WINDOWS\WINLOGON.EXE"
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery
\LastGood\
HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery
\LastGood\INF/oem5.inf
鍵值: DWORD: 1 (0x1)
3、病毒會檢測下列進程,並關閉
ravmon.exe 瑞星的實時監控組件
trojdie*江民監控程式
kpop*
ccenter*瑞星防毒軟體控制台相關程式
*assistse*
kpfw* 天網個人防火牆
agentsvr*
kv* 江民殺軟進程
kreg*
iefind*
iparmor* 木馬剋星
svi.exe
uphc*
rulewize*
fygt*
rfwsrv*
rfwma*
4、通過修改WOW/\realmlist.wtfr檔案中地址,可轉換伺服器。
us.logon.worldofwarcraft.com 美服
eu.logon.worldofwarcraft.com 歐服
tw.logon.worldofwarcraft.com 台服
蒐集信息包括;
companyname;filedescription;fileversion;internalname;legalcopyright;
originalfilename;productname;productversion;comments;legaltr
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
WINLOGN.EXE
(2) 刪除病毒檔案
%\Program Files\Common Files\%
%\Windows\% 1.com
%\Windows\% ExERoute.com
%\Windows\% explore.com
%\Windows\% finder.com
%\Windows\% KB890859.log
%\Windows\% WINLOGON.EXE
%\Windows\%LastCood\INF\oem5.inf
%\Windows\%LastCood\INF\oem5.PNF
%\System32\%command 指向MS-Dos的捷徑
%\System32\%dxdiag.com
%\System32\%finder.com
%\System32\%msconfig.com
%\System32\%regedit.com
%\System32\%rundll32.com
D:\autorun.inf
D:\pagefile.pif
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
修改HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
為HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
\shell\open\command
"%1" %*
修改鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\@
鍵值: 字元串: "C:\WINDOWS\ExERoute.exe "%1" %*"
為HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
\shell\open\command
鍵值: 字元串: "%1" %*
刪除註冊表項:HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\Bags\15\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Torjan Program
鍵值: 字元串: "C:\WINDOWS\WINLOGON.EXE"
