病毒名称: Trojan-PSW.Win32.WOW.jc
病毒类型: 木马
文件 MD5: D2DA3BD014DDC536173E54B6E930BEB6
公开范围: 完全公开
危害等级: 3
文件长度:22,528 字节
感染系统: windows98以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: PECompact v2.0
命名对照:驱逐舰[Trojan.PWS.WOW]
BitDefender [Generic.PWStealer.92B38553]
病毒描述:
该病毒属木马类,病毒运行后修改注册表,添加启动项,以达到随机启动的目的,关闭windows自动更新功能。该病毒可以盗取用户网络游戏魔兽世界的账号与密码。
行为分析:
1、病毒运行后修改注册表,添加启动项,以达到随机启动的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
键值: 字串: "Timer Service "="病毒路径\病毒名"
2、关闭windows自动更新功能:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\WindowsUpdate\Reporting\EventCache\9482f4b4-e343-43b6
-b170-9a65bc822c77\
键值: 字串: "CurrentCacheFile"= "C
WINDOWS\SoftwareDistribution
\EventCache\ .bin"
3、该病毒可以盗取用户网络游戏魔兽世界的账号与密码。
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C
Winnt\System32,windows95/98/me中默认的安装路径是C
Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
可以手动清除或者去下一个专杀工具。
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有
以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的
键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场
所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\
start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\
Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经
常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么
程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的
Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看
到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可
能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否
打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木
马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分
木马应该没问题的。
另外,你也可以试试用下面的办法来解决:
从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件,可以放心使用
。
这个是下载地址。
http://www.ttian.net/website/2005/0829/391.html
这个是它的详细用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般来说,不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服
务、隐文件的,利害的能将杀毒软件有实时监控给杀死!但在这个冰刃里,它是
无法遁身的。开启的非法进程会以红色显示出来。
