Win32.PSWTroj.WOW.d56
病毒别名: 处理时间:2006-12-06 威胁级别:★
中文名称: 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是个盗取用户魔兽世界帐号的木马。
1、添加如下注册表项使病毒自启动:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunTimer Service "%当前病毒文件全路径%"
2、通过查询注册表项:SOFTWAREBlizzard EntertainmentWorld of WarcraftInstallPath 来获得魔兽世界的安装路径,在该路径下搜索名为realmlist.wtf的文件,
判断该文件中是否有以下字符串来确定是否为国服一到六区的帐号,有则盗取帐号:
SET realmlist "cn1.grunt.wowchina.com"
SET realmlist "cn2.grunt.wowchina.com"
SET realmlist "cn3.grunt.wowchina.com"
SET realmlist "cn4.grunt.wowchina.com"
SET realmlist "cn5.grunt.wowchina.com"
SET realmlist "cn6.grunt.wowchina.com"
3、创建一个全局消息钩子WM_JOURNALRECORD,通过钩子函数来截获系统消息,获得当前窗口,判断是否为魔兽世界窗口,是则获得窗口内容进行盗号。
4、将获得的魔兽世界帐号发送到指定的网页:http://ms.ye***.cn/ms/login.asp
5、由于对截获的消息处理不当,用户中毒后会出现鼠标和键盘使用失灵的状况。