当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 解析魔兽木马Trojan-PSW.Win32.WOW

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 解析魔兽木马Trojan-PSW.Win32.WOW


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-20   浏览: 89 ::
收藏到网摘: n/a

  魔兽木马由VC编写,激活后于C:\Program Files\NetMeeting\生成副本,并修改注册表,开机启动。检测魔兽世界进程,记录其键盘输入操作,保存至avpms.cfg并发送木马作者……

  文件名称:avpms.exe

  文件大小:13872 bytes

  病毒命名:

  卡巴斯基—Trojan-PSW.Win32.WOW.abn

  AVG—PSW.OnlineGames.OCF

  DrWeb—Trojan.PWS.Wsgame.origin

  加壳方式:UPack

  编写语言:Microsoft Visual C++ 6.0

  病毒类型:魔兽世界盗号木马

  文件MD5:06fbc12f0fa935b93844f9aea6e1a0e0

  病毒描述:

  该病毒由VC编写,激活后于C:\Program Files\NetMeeting\生成副本,并修改注册表,开机启动。通过检测网游魔兽世界的进程(Wow.exe),记录其键盘输入(密码)操作,保存至avpms.cfg并发送木马作者。

  行为分析:

  1、释放病毒副本:

  C:\Program Files\NetMeeting\avpms.cfg 824 字节

  C:\Program Files\NetMeeting\avpms.dat 8258 字节

  C:\Program Files\NetMeeting\avpms.exe 116368 字节

  2、添加注册表,开机自启:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avpms

  注册表值 avpms = REG_SZ,"C:\Program Files\NetMeeting\avpms.exe "

  3、avpms.dat注入Explorer,设置全局挂钩,检测魔兽世界游戏进程启动,并监视其键盘(帐号密码)输入操作。

  4、保存的键盘操作,保存至avpms.cfg,并发送外部。

  解决方法:

  1、 http://gudugengkekao.ys168.com/下载

  PowerRmv和SREng

  2、打开PowerRmv,选上抑制对象生成,填入:

  C:\Program Files\NetMeeting\avpms.cfg

  C:\Program Files\NetMeeting\avpms.dat

  C:\Program Files\NetMeeting\avpms.exe

  解析魔兽木马Trojan-PSW.Win32.WOW1

  2、打开SREng,删除:

  注册表:

  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

  解析魔兽木马Trojan-PSW.Win32.WOW2

  3、重启电脑,修改魔兽世界密码。(如果有)