[watermark]原创:警惕最新魔兽盗号者病毒
最新魔兽盗号者病毒(Trojan-PSW.Win32.WOW.bv (1))运行后,在%\Windows\%与%\System32\%下释放若干病毒副本。修改注册表.exe文件关联项,新建启动项,以达到在开机后或运行程序时,启动病毒体的目的。病毒会检测并关闭下列进程。
ravmon.exe 瑞星的实时监控组件
trojdie* 江民监控程序
kpop*
ccenter* 瑞星杀毒软件控制台相关程序
*assistse*
kpfw* 天网个人防火墙
agentsvr*
kv* 江民杀软进程
kreg*
iefind*
iparmor* 木马克星
svi.exe
uphc*
rulewize*
fygt*
rfwsrv*
rfwma*
该病毒会捕获游戏客户端窗口,拦截winsock32.dll函数,监听网络通讯,之后发送收集到的信息。通过修改WOW/\realmlist.wtfr文件中地址,可转换服务器。
us.logon.worldofwarcraft.com 美服
eu.logon.worldofwarcraft.com 欧服
tw.logon.worldofwarcraft.com 台服
搜集信息包括:
companyname;filedescription;fileversion;internalname;legalcopyright;originalfilename;productname;productversion;comments;legaltr
建议使用安天木马防线可彻底清除此病毒。手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
WINLOGN.EXE
(2) 删除病毒文件
%\Program Files\Common Files\%
%\Windows\% 1.com
%\Windows\% ExERoute.com
%\Windows\% explore.com
%\Windows\% finder.com
%\Windows\% KB890859.log
%\Windows\% WINLOGON.EXE
%\Windows\%LastCood\INF\oem5.inf
%\Windows\%LastCood\INF\oem5.PNF
%\System32\%command 指向MS-Dos的快捷方式
%\System32\% dxdiag.com
%\System32\% finder.com
%\System32\% msconfig.com
%\System32\% regedit.com
%\System32\% rundll32.com
D:\autorun.inf
D:\pagefile.pif
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
修改HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
为 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
"%1" %*
修改键值
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell\Open\Command\@
键值: 字符串: "C:\WINDOWS\ExERoute.exe "%1" %*"
为 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
键值: 字符串: "%1" %*
删除注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\15\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program
键值: 字符串: "C:\WINDOWS\WINLOGON.EX
相关链接参见:http://www.antiy.com/security/report/20060829.htm
[/watermark] |
