Trojan-PSW.Win32.WOW.el
种 类: PSW Trojan 字串8
详细技术: 字串9
该木马程序有计划的盗取用户在 WoW 服务器上的帐户密码。该木马自身是一个 Windows PE EXE 文件,使用 Delphi 编写并且使用 NsPack 加密。加密后文件大小 136069 字节,并且未加密的文件近似 316Kb 大小。 字串8
安装
字串8
一旦运行,该木马将在 C 盘根目录下创建一个 DLL 文件: 字串4
c:
xldr.dat 字串8
它随后运行该文件并且调用 "start" 功能:
字串3
一旦运行,该 DLL 文件复制自身可执行文件到 Windows 系统目录:
字串3
%System32%KB896425.log 字串7
该木马创建一个服务名为 NetWork ,为了随系统每次启动而确保自动加载木马:
字串7
[HKLMSystemCurrentControlSetServicesNetWorkLogon]
行为分析:
字串4
一旦运行,该 DLL 文件读取进程列表。它随后将从列表中随机选择进程并将自身装入该进程,同时也会嵌入以下进程:
字串8
EXPLORER.EXE 字串5
IEXPLORE.EXE 字串9
该 DLL 文件将安装一个钩子来发送 WS2_32.dll 功能,用来跟踪用户的 HTTP 请求。包含以下字符的 POST 请求:
字串3
/vk/unblock_deal.php
字串9
该木马读取以下参数值:
字串9
account= 字串1
pin= 字串3
如果 URL 中包含字符 /dologin.php ,该木马将读取以下列出的参数值:
字串4
loginname=
字串6
&password= 字串4
如果进程中有 WOW.EXE 进程,该木马将读取对话框输入,并且将同时截图。
字串2
该木马将发送获得的信息到远程恶意用户的网站。
字串9
该木马将从浏览器缓存中删除所有包含字符 "the9.com" 的链接。
清除指导: 字串1
1 使用任务管理器终止木马进程。
字串4
2 删除原始木马文件。 ( 它的位置将在受害主机最先感染的位置 ) 。
字串7
3 删除木马创建的文件:
字串3
%System32%KB896425.log 字串8
c:
xldr.dat 字串2
4 删除以下注册表键值: 字串1