Trojan-PSW.Win32.WOW.dq

病毒名称： Trojan-PSW.Win32.WOW.dq

中文名称： 盗号者

病毒类型： 木马类

文件 MD5： F5645DF1B6349C6C2FFF7A95278B8C18

公开范围： 完全公开

危害等级： 中等

文件长度： 49,241 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： NsPacK V3.7 -> LiuXingPing *

nSPack 3.1 -> North Star/Liu Xing Ping [Overlay]

命名对照： 驱逐舰[Trojan.PWS.WOW]

Ewido[Trojan.WOW.bv]

病毒描述：

该病毒运行后，释放大量病毒文件到系统目录下。添加注册表启动项，以达到开机加载病毒体的目的。修改文件关联，以使用户运行程序时同时启动病毒。盗取用户QQ、魔兽、征途等游戏帐号。该病毒占用大量系统资源。

行为分析：

1、释放下列副本与文件

%System32% command.pif

%System32%dxdiag.com

%System32%finder.com

%System32%msconfig.com

%System32%

egedit.com

%System32%

undll32.com

%Windir%1.com

%Windir%exeroute.exe

%Windir%explorer.com

%Windir%finder.com

%Windir%winlogon.exe

%Program Files%Common Filesiexplore

2、新建注册表键值：

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:Program Filescommon~1

iexplore.pif键值: 字符串: "iexplore"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:WINDOWSExERoute.exe键值: 字符串: "ExERoute"

HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesDefaultIcon@

键值: 字符串: "%1"

HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesShellOpenCommand@

键值: 字符串: "C:WINDOWSExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pifshellopencommand@

键值: 字符串: ""C:Program Filescommon~1iexplore.pif""

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunTorjan Program

键值: 字符串: "C:WINDOWSWINLOGON.EXE"

3、病毒尝试关闭包含下列字符的进程：

ravmon.exe

trojdie*

kpop*

ccenter*

*assistse*

kpfw*

agentsvr*

kv*

kreg*

iefind*

iparmor*

svi.exe

uphc*

rulewize*

fygt*

rfwsrv*

rfwma*

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

WINLOGON.EXE

(2) 删除病毒文件：

%System32% command.pif

%System32%dxdiag.com

%System32%finder.com

%System32%msconfig.com

%System32%

egedit.com

%System32%

undll32.com

%Windir%1.com

%Windir%exeroute.exe

%Windir%explorer.com

%Windir%finder.com

%Windir%winlogon.exe

%Program Files%Common Filesiexplore

(3) 将%windir%下的regedit.exe改名为regedit.com并运行regedit.com

(4) 删除病毒添加的注册表项

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:Program Filescommon~1

iexplore.pif键值: 字符串: "iexplore"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:WINDOWSExERoute.exe键值: 字符串: "ExERoute"

HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesDefaultIcon

@键值: 字符串: "%1"

(5) 恢复病毒修改的注册表项目:

HKEY_LOCAL_MACHINESOFTWAREClasses

winfilesShellOpenCommand@键值: 字符串: " "%1" %*"