Win32.Troj.WOW.vf
威胁级别:★
病毒类型:木马
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个《魔兽世界》盗号木马。建议电脑用户升级病毒库查杀该病毒,以免中毒受害。
1、生成的文件
%SystemRoot%system32windhcp.ocx
2、添加伪系统服务,随系统启动
HKLMSystemCurrentControlSetServicesWinDHCPsvc
"Type" = "0x10"
HKLMSystemCurrentControlSetServicesWinDHCPsvc
"Start" = "0x2"
HKLMSystemCurrentControlSetServicesWinDHCPsvc
"ImagePath" = "%SystemRoot%system32
undll32.exe windhcp.ocx,start"
HKLMSystemCurrentControlSetServicesWinDHCPsvc
"DisplayName" = "Windows DHCP Service"
HKLMSystemCurrentControlSetServicesWinDHCPsvc
"Description" = "为远程计算机注册并更新 IP 地址。"
3、释放病毒安装一临时驱动,结束相关安全软件进程
HKLMSYSTEMCurrentControlSetServicesCelInDrv
"Type" = "0x1"
HKLMSYSTEMCurrentControlSetServicesCelInDrv
"Start" = "0x4"
HKLMSYSTEMCurrentControlSetServicesCelInDrv
"ImagePath" = "??\%SystemRoot%system32DriversCelInDriver.sys"
4、生成一bat文件实现自删除。