Win32.PSWTroj.WOW.f

病毒别名： 处理时间：2006-12-06 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是个盗取用户魔兽世界帐号的木马。

1、添加如下注册表项使病毒自启动：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunTimer Service "%当前病毒文件全路径%"

2、通过查询注册表项：SOFTWAREBlizzard EntertainmentWorld of WarcraftInstallPath 来获得魔兽世界的安装路径，在该路径下搜索名为realmlist.wtf的文件，

判断该文件中是否有以下字符串来确定是否为国服一到六区的帐号，有则盗取帐号：

SET realmlist "cn1.grunt.wowchina.com"

SET realmlist "cn2.grunt.wowchina.com"

SET realmlist "cn3.grunt.wowchina.com"

SET realmlist "cn4.grunt.wowchina.com"

SET realmlist "cn5.grunt.wowchina.com"

SET realmlist "cn6.grunt.wowchina.com"

3、创建一个全局消息钩子WM_JOURNALRECORD，通过钩子函数来截获系统消息，获得当前窗口，判断是否为魔兽世界窗口，是则获得窗口内容进行盗号。

4、将获得的魔兽世界帐号发送到指定的网页：http://ms.ye***.cn/ms/login.asp

5、由于对截获的消息处理不当，用户中毒后会出现鼠标和键盘使用失灵的状况。