种 类: PSW Trojan 字串8

详细技术: 字串9

该木马程序有计划的盗取用户在 WoW 服务器上的帐户密码。该木马自身是一个 Windows PE EXE 文件，使用 Delphi 编写并且使用 NsPack 加密。加密后文件大小 136069 字节，并且未加密的文件近似 316Kb 大小。 字串8

安装

字串8

一旦运行，该木马将在 C 盘根目录下创建一个 DLL 文件： 字串4

c:\xldr.dat 字串8

它随后运行该文件并且调用 "start" 功能：

字串3

一旦运行，该 DLL 文件复制自身可执行文件到 Windows 系统目录：

字串3

%System32%\\KB896425.log 字串7

该木马创建一个服务名为 NetWork ，为了随系统每次启动而确保自动加载木马：

字串7

[HKLM\\System\\CurrentControlSet\\Services\etWorkLogon]

行为分析:

字串4

一旦运行，该 DLL 文件读取进程列表。它随后将从列表中随机选择进程并将自身装入该进程，同时也会嵌入以下进程：

字串8

EXPLORER.EXE 字串5

IEXPLORE.EXE 字串9

该 DLL 文件将安装一个钩子来发送 WS2_32.dll 功能，用来跟踪用户的 HTTP 请求。包含以下字符的 POST 请求：

字串3

/vk/unblock_deal.php

字串9

该木马读取以下参数值：

字串9

account= 字串1

pin= 字串3

如果 URL 中包含字符 /dologin.php ，该木马将读取以下列出的参数值：

字串4

loginname=

字串6

&password= 字串4

如果进程中有 WOW.EXE 进程，该木马将读取对话框输入，并且将同时截图。

字串2

该木马将发送获得的信息到远程恶意用户的网站。

字串9

该木马将从浏览器缓存中删除所有包含字符 "the9.com" 的链接。

清除指导: 字串1

1 使用任务管理器终止木马进程。

字串4

2 删除原始木马文件。 ( 它的位置将在受害主机最先感染的位置 ) 。

字串7

3 删除木马创建的文件：

字串3

%System32%\\KB896425.log 字串8

c:\xldr.dat 字串2

4 删除以下注册表键值： 字串1