上周,金山反病毒中心截获一个以盗取“魔域”、“完美世界”和“浩方游戏平台”为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种。金山客服中心接到大量用户投诉,反映系统重启无法显示桌面。金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种。
病毒分析报告:
这是一个盗取“魔域”、“完美世界”和“浩方游戏平台”帐号为目的的木马,它用特殊的方法逃避杀毒软件的查杀,可能是病毒作者制作程序的BUG导致系统重启时,无法正常显示桌面。
1:拷贝文件
病毒运行后,会把自己拷贝到系统目录中
C:\WINDOWS\system32\wsttrs.exe
并释放一个病毒文件
C:\WINDOWS\system32\wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)
之后病毒体会自删除
2:添加启动项
病毒会在注册表中添加一启动项,使自己随Windows启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"wsttrs" = "C:\WINDOWS\wsttrs.exe"
可能是木马作者的疏忽,正是这个下次开机自动加载的程序导致系统不能正常显示桌面。
3:关闭杀毒软件
病毒会寻找杀毒软件的窗口,并关闭该窗口。如果发现杀毒软件主程序被关闭,正是病毒入侵的信号。
4:盗取帐号
病毒会寻找网络游戏"魔域"的游戏进程,并使用钩子读取用户输入的游戏帐号与信息,并把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去,使用户的游戏帐号丢失。
以下是该病毒的手动解决方案:
1、在windows XP及其以上系统中:
当无法进入桌面的时候,调出windows任务管理器(Ctrl+Alt+Delete调出),切换到进程标签,然后找到 wsttrs.exe进程,选中后单击右键结束进程,既可正常显示桌面。
2、在windows 2000及其它系统中
重启系统时,连续快速按F8,在启动菜单中选择带网络连接的安全模式启动,在线升级毒霸到最新版本(2007.04.07.16),对windows目录进行查毒,病毒查杀结束后,重启系统即可正常显示桌面。
3、当以上两种方案都不能成功,则有可能是该病毒的最新变种,应进入安全模式,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce (注意是RunOnce不是Run),查找启动程序位于 系统盘\windows 或者 系统盘\WinNT 文件夹下的启动项。
例如:
wstthrs c:\windows\wsttrs.exe
或者
wstthrs c:\winnt\wsttrs.exe
删除该键值,根据注册表中提供的程序路径,找到该病毒文件,按ctrl+X剪切,在桌面(或其它位置)按Ctrl+V粘贴该病毒文件,然后访问up.duba.net,向金山毒霸提交该文件。最后,删除该样本文件,重启系统。