天高云淡

危险等级：★★★
病毒名称：Trojan.PSW.Win32.WoWar.adl
截获时间：2007-10-28
入库版本：19.46.61
类型：病毒

感染的操作系统： Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：低

全球化传播态势：低

破坏力：低

清除难度：低

破坏手段：窃取网络游戏《魔兽世界》用户密码

这是一个偷网络游戏《魔兽世界》用户密码的病毒。
病毒运行后会进行以下操作：
1. 在System32路径下释放病毒本身wsmsaax.exe和动态库wsmsazx.dll，添加以下键值实现自启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
“AppInit_DLLs” = wsmsazx.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
“{392FADFA-BCDE-ACDF-CDEF-21054865CBA3}” = wsmsazx.dll

2. 通过创建远程线程把动态库注入到Explorer.exe进程中。

3. 病毒运行完后会把自己删除。
动态库被加载起来后首先会查找C:\Program Files\NetMeeting、D:\Program Files\NetMeeting、System32路径下是否存在类型为.cfg的文件，假如存在则把这些文件全部删除。查找动态库所在进程是否是WoWar.exe，假如是则创建两个线程进行6-7操作，不是则创建一个线程进行1-5的操作：

1 调用SetWindowsHookEx函数挂接鼠标键盘钩子。

2. 调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。

3. 每隔2秒遍历进程，查找进程是否存在《魔兽世界》游戏进程WoWar.exe，假如存在
则结束该进程，当用户再次运行游戏时，把自己通过远程线程注入到该进程中。

4. 遍历进程查找进程中是否存在反外挂程序TQAT.exe，假如存在结束该进程。

5. 添加以下注册表键值实现自启动、禁用Windows自动更新、禁用防火墙等操作。
HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Windows
AppInit_DLLs = wsmsazx.dll
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile
Enable Firewall = 1

6. 找到用户游戏文件夹中的launcher2.ini文件，每隔1毫秒查找游戏登陆窗口，获取用户登陆信息并存到C:\Program Files\NetMeeting、D:\Program Files\NetMeeting、System32中的.cfg文件中。

7. 把获得用户输入的帐号密码信息发送到指定网址。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.46.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。