Win32.Troj.PswWow.a

病毒别名： 处理时间：2006-05-26 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个盗取魔兽游戏密码的木马病毒，病毒采用进程注入的方式运行，具有很

高的隐蔽性。

1. 该木马病毒本身是一个动态链接文件，不能自主运行，必须通过木马释放器进行加载。

2. 木马释放器（毒霸可查，Win32.Troj.PswWow.d.212480）将该木马释放并拷贝到系统

盘根目录下。命名为main.dat，然后利用explorer.exe、iexplore.exe等系统进程进

行加载，将木马拷贝到系统目录下，命名为KB896445.log并利用rundll32.exe将该木

马建立为系统服务，在注册表中会留下以下键值：

[HKLM\\SYSTEM\\CurrentControlSet\\Services\etWorkLogon]

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="rundll32 KB896445.log,start"

"DisplayName"="Network Logon"

"ObjectName"="LocalSystem"

"Description"="支持网络上计算机远程登陆事件。如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。"

3. 当病毒以系统服务形式运行时，会尝试将自身注入explorer.exe、iexplore.exe以及

wow.exe进程。监视用户窗口，窃取游戏相关信息。