盗号木马

Trojan-PSW.Win32.WOW.ew

捕获时间

2009-8-23

危害等级

中

病毒症状

　该样本是使用“VC”编写的盗号木马，由微点主动防御软件自动捕获，长度为“32,768 字节”，图标为“
”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取魔兽世界网游帐号密码。
　　用户中毒后，会出现游戏运行缓慢、网络速度降低、虚拟财产无故被盗等现象。

感染对象

Windows 2000/Windows XP/Windows 2003

传播途径

网页木马、文件捆绑、下载器下载

防范措施

已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

图1 微点主动防御软件自动捕获未知病毒（未升级）

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.WOW.ew”，请直接选择删除（如图2）。

  图2   微点主动防御软件升级后截获已知病毒

未安装微点主动防御软件的手动解决办法：

1、手动删除以下文件：
　
%SystemRoot%\system32\02033.dll

2、手动删除以下注册表值：

键: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Xstudio_Packet_Capture

3、手动修改以下注册表值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
值: 000000000001
类型:Binary
数据: %Systemroot%\system32\mswsock.dll
值: 000000000002
类型:Binary
数据: %Systemroot%\system32\mswsock.dll
值: 000000000003
类型:Binary
数据: %Systemroot%\system32\mswsock.dll
值: 000000000004
类型:Binary
数据: %Systemroot%\system32\mswsock.dll
值: 000000000005
类型:Binary
数据: %Systemroot%\system32\mswsock.dll

变量声明：

　　%SystemDriver%　　　　　　　系统所在分区，通常为“C:\”
　　%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为“C:\Windows”
　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”
　　%Temp%　　　　　　　　　　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
　　%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：“C:\ProgramFiles”

病毒分析

（1）释放动态链接库%SystemRoot%\system32\02033.dll(文件名随机生成)。
（2）通过操作注册表，使任何程序在连接Internet时自动加载动态链接库%SystemRoot%\system32\02033.dll。
（3）提升自身权限，创建线程，读取自身资源配置信息，将%SystemRoot%\system32\02033.dll注入到所有能够连接到Internet的目标进程中，但以下进程除外:svchost.exe、sass.exe、srss.exe、smss.exe、alg.exe。通过设置钩子，监视用户魔兽世界客户端帐号输入和魔兽相关网站和邮箱的登录信息，并将这些信息按照资源配置信息里的网址格式发送到病毒作者指定地址。
（4）删除自身，退出进程。

病毒创建文件：

%SystemRoot%\system32\02033.dll

病毒创建注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Xstudio_Packet_Capture

病毒修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005

病毒访问网络：

http://xwei4579.d***6.51ym.com