解析魔獸木馬Trojan

　　魔獸木馬由VC編寫，激活後於C:Program FilesNetMeeting生成副本，並修改注冊表，開機啟動。檢測魔獸世界進程，記錄其鍵盤輸入操作，保存至avpms.cfg並發送木馬作者……

　　文件名稱：avpms.exe

　　文件大小：13872 bytes

　　病毒命名：

　　卡巴斯基—Trojan-PSW.Win32.WOW.abn

　　AVG—PSW.OnlineGames.OCF

　　DrWeb—Trojan.PWS.Wsgame.origin

　　加殼方式：UPack

　　編寫語言：Microsoft Visual C++ 6.0

　　病毒類型：魔獸世界盜號木馬

　　文件MD5：06fbc12f0fa935b93844f9aea6e1a0e0

　　病毒描述：

　　該病毒由VC編寫，激活後於C:Program FilesNetMeeting生成副本，並修改注冊表，開機啟動。通過檢測網游魔獸世界的進程(Wow.exe)，記錄其鍵盤輸入(密碼)操作，保存至avpms.cfg並發送木馬作者。

　　行為分析：

　　1、釋放病毒副本：

　　C:Program FilesNetMeetingavpms.cfg 824 字節

　　C:Program FilesNetMeetingavpms.dat 8258 字節

　　C:Program FilesNetMeetingavpms.exe 116368 字節

　　2、添加注冊表，開機自啟：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunavpms

　　注冊表值 avpms = REG_SZ,"C:Program FilesNetMeetingavpms.exe "

　　3、avpms.dat注入Explorer，設置全局掛鉤，檢測魔獸世界游戲進程啟動，並監視其鍵盤(帳號密碼)輸入操作。

　　4、保存的鍵盤操作，保存至avpms.cfg，並發送外部。

　　解決方法：

　　1、 http://gudugengkekao.ys168.com/下載

　　PowerRmv和SREng

　　2、打開PowerRmv，選上抑制對象生成，填入：

　　C:Program FilesNetMeetingavpms.cfg

　　C:Program FilesNetMeetingavpms.dat

　　C:Program FilesNetMeetingavpms.exe

　　2、打開SREng，刪除：

　　注冊表：

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

　　3、重啟電腦，修改魔獸世界密碼。(如果有)