天高云淡

危险等级：★★★
病毒名称：Trojan.PSW.Win32.WoWar.acl
截获时间：2007-10-18
入库版本：19.45.40
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

清除难度：困难

破坏手段：窃取《魔兽世界》网络游戏用户的隐私（帐号、密码等）

此程序为窃取游戏帐号和密码的木马程序。

程序运行后从会释放addrmshelp.dll、addrmshelp.cfg和qdshm.dll至%windir%\system32目录下，并设置文件的属性为隐藏和系统属性，这样用户用简单的显示隐藏文件不能发现此文件。

在进程中搜索进程名为Wow.exe的进程，并把它结束。让用户重新登陆游戏，以让自己马上获得一次窃取用户信息的机会。

安装SPI过滤模块，对应的文件是qdshm.dll，假如有程序加载Winsock2.dll也会导致qdshm.dll被加载。改动态库初始化，判定当前进程名，假如是Explorer.exe，则会尝试加载其他窃取游戏密码的工作动态库，这些动态库的名字可能是：addrdjhelp.dll，addrqqhxhelp.dll等。假如不是Explorer.exe，则查找Explorer.exe进程，尝试注入qdshm.dll。

释放的addrmshelp.dll为工作动态库。该动态库初始化时会判定当前进程名。假如是explorer.exe进程，则安装Windows消息钩子，目的是将此动态库注入到其他进程中。假如不是，则判定当前进程的目录下是否存在ollydbg.ini文件，假如存在该文件，提升当前进程权限，并尝试结束winlogon.exe，csrss.exe，smss.exe进程使系统崩溃。这样做是为了试图阻止用ollydbg调试该程序。假如是Wow.exe进程，则尝试通过读取进程一些特定的内存地址的数据来获取用户信息。窃取成功后，通过HTTP方式将用户名密码发送至木马散播者设置的URL，使用户遭受损失。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.45.40版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。