載自金山病毒信息檔案
病毒名稱:Win32.Troj.Wow.a
影響系統:Win9x / WinNT
處理時間:2005-05-22
中文名稱:魔獸世界木馬
病毒類型:木馬
威脅級別: ★★
病毒別名:Trojan-Spy.Win32.Agent.ed[AVP]
病毒行為
該病毒,偷取魔獸世界網路遊戲帳號密碼,並發送給木馬種植者。木馬運行後,將自己改名為與系統程序接近的文件名:ctfmonn.exe(正常文件為ctfmon.exe),以迷惑用戶。並且,木馬會反覆設置啟動項,以防止用戶將其從啟動項中移除。
1、該木馬生成以下文件
%System%\\ctfmonn.exe(木馬本身,92672位元組)
%System%\\pluswow.dll(163840位元組)
%System%\tsoi.dll(24576位元組)
%System% 表示系統目錄(如:C:\\Windows\\System32)
2、在註冊表
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
添加
"plus" = "%System%\\ctfmonn.exe"
病毒會每兩秒設置該鍵一次,以防止用戶修改
3、嘗試在D、E、F盤下生成以下兩個文件
AutoRun.inf
ke
el.exe
使得用戶雙擊盤符時,運行木馬
4、使用以下字符作為互斥量,以保證只有一個進程運行
"rrrrrrrrrrrrwowyeah"
5、查找以下窗口和類
魔獸世界
GxWindowClassD3d
WSWINDOW
6、獲取鍵盤等信息,保存在一個名為
"gbd"
的配置文件中
7、配置文件內容包括
區服:一區、二區、三區
鍵盤信息:如[End] [Del]……
8、木馬會將配置文件發往以下IP位址中:
202.101.35.253
【來源:】