该病毒属木马类，是专门盗取游戏魔兽世界账号密码的病毒。病毒运行后释放病毒文件，修改注册表键值，新建注册表，添加启动项，以达到随机启动的目的，病毒进程伪装系统进程lsass.exe，区别是系统进程名为小写lsass.exe，用户名为system，而病毒进程名为大写LSASS.EXE，用户名为用户机器名。并且在任务管理器中不能关闭病毒进程，需要用其他工具关闭。当用户登陆魔兽世界时，病毒会记录用户输入的账号和密码，放在病毒释放的病毒文件%WINDIR%\\io.sys.bak中。并以FTP的形式发送给病毒作者。

病毒名称： Trojan-PSW.Win32.WOW.de

病毒类型： 木马

文件 MD5： 8C25E6C03FB4A961495D30C96DAAC5CE

公开范围： 完全公开

危害等级： 中

文件长度： 47,082 字节

感染系统： Windows98以上版本

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳类型： nSPack 3.1

命名对照： Symentec[Infostealer.Wowcraft]

Mcafee[无]

行为分析：

1、病毒运行后释放病毒文件：

%WINDIR%\\exert.exe

%WINDIR%\\io.sys.bak

%WINDIR%\\lsass.exe

%system32%\\dxdiag.com

%system32%\\msconfig.com

%system32%\\regedit.com

%Program Files%\\Internet Explorer\\intexplore.com

%Program Files%\\Common Files\\intexplore

其中除%WINDIR%\\io.sys.bak外均为病毒自身。

2、病毒运行后修改注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe

新建键值: 字串: "默认"="WindowFiles"

原键值: 字串: "默认"="exefile"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications \\iexplore.exe\\shell\\open\\

新建键值: 字串: " command "=""C:\\Program Files\\Internet Explorer\\ INTEXPLORE.com" %1"

原键值: 字串: " command "=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{871C5380-42A0-1069-A2EA

08002B30309D}\\shell\\OpenHomePage\\Command

新建键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\INTEXPLORE.com""

原键值: 字串: "默认"="C:\\Program Files\\Internet Explorer\\iexplore.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp\\shell\\open\\command

新建键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\INTEXPLORE.com" %1"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\open\\command

新建键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\INTEXPLORE.com" -nohome"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\opennew\\command

新建键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif" %1"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\HTTP\\shell\\open\\command

新建键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif" -nohome"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

新建键值: 字串: "默认"="INTEXPLORE.pif"

原键值: 字串: "默认"="IEXPLORE.EXE"

3、新建注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\

键值: 字串: "ToP "="C:\\WINDOWS\\LSASS.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

键值: 字串: "Check_Associations "="No"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache\\

键值: 字串: "C:\\Program Files\\common~1\\INTEXPLORE.pif

"="INTEXPLORE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\

键值: 字串: "默认"="%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles

\\DefaultIcon

键值: 字串: "默认"="%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell\\

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles

\\Shell\\Open\\

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell

\\Open\\Command

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell

\\Open\\Command

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\ INTEXPLORE.pif

键值: 字串: "默认"="INTEXPLORE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\LocalizedString

键值: 字串: "默认"="INTEXPLORE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\open\\

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\open\\command\\

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\open\\command

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

4、当用户登陆魔兽世界时，病毒会记录用户输入的账号和密码，记录在病毒释放的病毒文件%WINDIR%\\io.sys.bak。并以FTP的形式发送给病毒作者。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%WINDIR%\\exert.exe

%WINDIR%\\io.sys.bak

%WINDIR%\\lsass.exe

%system32%\\dxdiag.com

%system32%\\msconfig.com

%system32%\\regedit.com

%Program Files%\\Internet Explorer\\intexplore.com

%Program Files%\\Common Files\\intexplore

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

改回被修改的注册表项，修改后的键值应为原键值：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe

新建键值: 字串: "默认"="WindowFiles"

原键值: 字串: "默认"="exefile"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications

\\iexplore.exe\\shell\\open\\

新建键值: 字串: " command "=""C:\\Program Files

\\Internet Explorer\\ INTEXPLORE.com" %1"

原键值: 字串: " command "=""C:\\Program Files

\\Internet Explorer\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID

\\{871C5380-42A0-1069-A2EA

08002B30309D}\\shell\\OpenHomePage\\Command

新建键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\INTEXPLORE.com""

原键值: 字串: "默认"="C:\\Program Files\\Internet Explorer

\\iexplore.exe

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp\\shell\\open\\command

新建键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\INTEXPLORE.com" %1"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell

\\open\\command

新建键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\INTEXPLORE.com" -nohome"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\opennew

\\command

新建键值: 字串: "默认"=""C:\\Program Files\\common~1

\\INTEXPLORE.pif" %1"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\iexplore.exe" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\HTTP\\shell

\\open\\command

新建键值: 字串: "默认"=""C:\\Program Files\\common~1

\\INTEXPLORE.pif" -nohome"

原键值: 字串: "默认"=""C:\\Program Files\\Internet Explorer

\\iexplore.exe" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

新建键值: 字串: "默认"="INTEXPLORE.pif"

原键值: 字串: "默认"="IEXPLORE.EXE"

删除以下注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\

键值: 字串: "ToP "="C:\\WINDOWS\\LSASS.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

键值: 字串: "Check_Associations "="No"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache\\

键值: 字串: "C:\\Program Files\\common~1\\INTEXPLORE.pif "="INTEXPLORE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\

键值: 字串: "默认"="%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\DefaultIcon

键值: 字串: "默认"="%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell\\

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell\\Open\\

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell\\Open\\Command

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WindowFiles\\Shell\\Open\\Command

键值: 字串: "默认"="C:\\WINDOWS\\EXERT.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\ INTEXPLORE.pif

键值: 字串: "默认"="INTEXPLORE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\LocalizedString

键值: 字串: "默认"="INTEXPLORE"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\open\\

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\open\\command\\

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\INTEXPLORE.pif\\shell\\open\\command

键值: 字串: "默认"=""C:\\Program Files\\common~1\\INTEXPLORE.pif""