捕獲時間
2008-09-28
病毒摘要
該樣本是使用“Delphi”編寫的“魔獸世界盜號木馬”���,由微點主動防御軟件自動捕獲��,采用“UPX”加殼方式試圖躲避特征碼掃描,加殼后長度為“29,764 字節”�����,圖標為
使用“ exe”擴展名,通過“網頁木馬”���、“下載器下載”等途徑植入用戶計算機,運行后伺機盜取網絡游戲“魔獸世界”的“帳號”和“密碼”��。
感染對象
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬���、文件捆綁
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞����。無論您是否已經升級到最新版本���,微點主動防御都能夠有效清除該病毒�����。如果您沒有將微點主動防御軟件升級到最新版,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬”���,請直接選擇刪除處理(如圖1);
圖1 主動防御自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本����,微點將報警提示您發現"Trojan-PSW.Win32.WOW.nhj”,請直接選擇刪除(如圖2)���。
圖2 升級后截獲已知病毒
對于未使用微點主動防御軟件的用戶,微點反病毒專家建議:
1����、不要在不明站點下載非官方版本的軟件進行安裝�����,避免病毒通過捆綁的方式進入您的系統。
2、盡快將您的殺毒軟件特征庫升級到最新版本進行查殺���,并開啟防火墻攔截網絡異常訪問,如依然有異常情況請注意及時與專業的安全軟件廠商聯系獲取技術支持。
3�、開啟windows自動更新���,及時打好漏洞補丁���。
病毒分析
該樣本運行后首先遍歷進程,查找魔獸游戲進程“WOW.EXE”,后查找系統進程中是否有“AVP.exe”和“KVMonXP.kxp”�,如果沒有就釋“WowInitcode.dll”將其加載��;“WowInitcode.dll”加載后比較父進程名是否為“explorer.exe”�,如果是就調用自身的“hookon”函數����,該函數通過“SetWindowsHookExA” 設置“WH_GETMESSAGE”類型的系統全局鉤子,獲取系統的消息����。通過監視消息來獲取網絡游戲的“帳號”�����、“密碼”�,通過“收信空間”的方式將木馬所盜取信息發送至http://www.****007.cn/lawow0808/flash.asp
http://www.****007.cn/laoawowko/flash.asp
http://www.****007.cn/lajwg269/flash.asp
http://www.****007.cn/laWOWwf03/flash.asp
