Trojan/win32.WOW.fcj[Stealer]

病毒标签：病毒名称： Trojan/win32.WOW.fcj[Stealer]

病毒类型： 蠕虫

文件 MD5： 7A70C305218F89ED273458425E838A15

公开范围： 完全公开

危害等级： 4

文件长度： 22,776 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual C++ 6.0

病毒描述：该病毒为魔兽世界游戏木马，病毒运行后，创建互斥量，检测注册表是否存在魔兽游戏注册键值，遍历进程查找wow.exe、avp.exe、KVMonXP.exe进程，找到进程后释放病毒文件到%temp%临时目录下重命名为：WowInitcode.dat，将自身移动到该目录下、并将属性设置为隐藏，使用函数动态加载WowInitcode.dat病毒文件，试图将病毒衍生的文件注入到所有进程中。

WowInitcode.dat病毒文件分析：判断自身是否在explorer.exe进程中，如是则设置消息钩子，创建互斥量，查找部分软件类名及标题名，找到后则发送关闭消息，通过消息钩子截取魔兽世界游戏账号密码相关信息，以URL方式发送到病毒作者指定的地址中。

清除方案：1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

（1）使用ATOOL管理工具，“进程管理”查找当前进程中包含的WowInitcode.dat模块，找到将其卸载掉。

（2）强行删除病毒衍生的文件

%Documents and Settings%当前所在用户Local SettingsTempWowInitcode.dat

%Documents and Settings%当前所在用户Local SettingsTempwsasystem.gif