该病毒运行后，释放若干病毒副本到%Windows%与%\\System32\\%目录下，修改注册表项HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefiles为winfiles，新建键值，把exe文件与病毒文件相关联，并添加启动项，以达到开机后运行病毒与打开任意程序即运行病毒的目的。该病毒会盗取“征途”、“魔兽”等网络游戏的个人信息，发到指定网站。

简介

病毒描述

简介

病毒名称： Trojan-PSW.Win32.

中文名称： 魔兽盗号者

病毒类型： 木马类

文件 MD5： 9145DFB96BD910A30C439F35AF7B310D

公开范围： 完全公开

危害等级： 中等

文件长度：46,211 字节

感染系统： Win9x以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： nSPack 3.1 -> North Star/Liu Xing Ping

命名对照： ewido[Trojan.]

病毒描述

行为分析：

1、释放下列副本与文件

%\\Program Files\\Common Files\\% iexplore.pif

%\\Windows\\%　1

%\\Windows\\%　ExERoute Trojan-PSW.Win32.

%\\Windows\\%　explore 同上

%\\Windows\\%　finder　同上

%\\Windows\\%　KB890859.log　同上

%\\Windows\\%　WINLOGON.EXE　同上

%\\Windows\\%LastCood\\INF\\oem5.inf

%\\Windows\\%LastCood\\INF\\oem5.PNF

%\\System32\\%command 指向MS-Dos的快捷方式

%\\System32\\%　dxdiag 同上

%\\System32\\%　finder 同上

%\\System32\\%　msconfig　同上

%\\System32\\%　regedit　同上

%\\System32\\%　rundll32　同上

D:\\autorun.inf

D:\\pagefile.pif

2、新建注册表键值：

在此键值下新建若干病毒释放文件相关键值

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\Bags\\15\\Shell\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\@

键值: 字符串: "C:\\WINDOWS\\ExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\shell\\open\\command\\@

键值: 字符串:""C:\\ProgramFiles\\common~1\\iexplore.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\Torjan Program

键值: 字符串: "C:\\WINDOWS\\WINLOGON.EXE"

HKEY_LOCAL_MACHINE\\SYSTEM\\LastKnownGoodRecovery

\\LastGood\\

HKEY_LOCAL_MACHINE\\SYSTEM\\LastKnownGoodRecovery

\\LastGood\\INF/oem5.inf

键值: DWORD: 1 (0x1)

3、病毒会检测下列进程，并关闭

ravmon.exe　瑞星的实时监控组件

trojdie*　江民监控程序

kpop*

ccenter*　瑞星杀毒软件控制台相关程序

*assistse*

kpfw*　天网个人防火墙

agentsvr*

kv*　江民杀软进程

kreg*

iefind*

iparmor* 木马克星

svi.exe

uphc*

rulewize*

fygt*

rfwsrv*

rfwma*

4、通过修改WOW/\\realmlist.wtfr文件中地址，可转换服务器。

us.logon.worldofwarcraft 美服

eu.logon.worldofwarcraft　欧服

tw.logon.worldofwarcraft 台服

搜集信息包括;

companyname;filedescription;fileversion;internalname;legalcopyright;

originalfilename;productname;productversion;comments;legaltr

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

推荐软件

使用安天木马防线可彻底清除此病毒(推荐)。

手动清除

手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

WINLOGN.EXE

(2) 删除病毒文件

%\\Program Files\\Common Files\\%

%\\Windows\\%　1

%\\Windows\\%　ExERoute

%\\Windows\\%　explore

%\\Windows\\%　finder

%\\Windows\\%　KB890859.log

%\\Windows\\%　WINLOGON.EXE

%\\Windows\\%LastCood\\INF\\oem5.inf

%\\Windows\\%LastCood\\INF\\oem5.PNF

%\\System32\\%command 指向MS-Dos的快捷方式

%\\System32\\%　dxdiag

%\\System32\\%　finder

%\\System32\\%　msconfig

%\\System32\\%　regedit

%\\System32\\%　rundll32

D:\\autorun.inf

D:\\pagefile.pif

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

为HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile

\\shell\\open\\command

"%1" %*

修改键值 HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\@

键值: 字符串: "C:\\WINDOWS\\ExERoute.exe "%1" %*"

为HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\exefile

\\shell\\open\\command

键值: 字符串: "%1" %*

删除注册表项:HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\Bags\\15\\Shell

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\Torjan Program

键值: 字符串: "C:\\WINDOWS\\WINLOGON.EXE"

WOW中毒表现

被盗的情况肯定是你突然掉线，然后上线，提示输入将军令的密码，此时的界面属于盗号木马伪造的，你输入的是盗号者在另一端用你账号登陆所显示的输入，即盗号者和你同时登陆，但是盗号不知道你的将军令，用木马修改你客户端，当你输入将军令后把将军令密码回传，达到盗号的目的。