安天实验室12月21日病毒预警

一、“魔兽窃贼”（Trojan/Win32.OnLineGames.vwho[Stealer]） 威胁级别：★★★★

    该病毒文件为魔兽世界游戏盗号木马，病毒运行后创建t329076.ini到%System32%目录下，衍生随机病毒名文件到临时目录下，遍历进程查找AVP.EXE进程，如果进程存在则拷贝rundll32.exe一份重命命名为t329076.exe，调用CMD命令使用被重命名的t329076.exe文件（原文件名rundll32.exe）启动临时目录下的病毒文件，如进程不存在则直接使用rundll32.exe启动临时目录下的病毒文件，临时目录下的病毒文件被启动后对进程进行提权操作，判断自身进程是否为svchost.exe，如不是则退出，如是则衍生病毒DLL文件到%System32%目录下，拷贝rpcss.dll系统文件为t3rpcss.dll，将病毒DLL文件注入到EXPLORER.EXE进程中，病毒DLL查找含有魔兽世界标题和wow.exe进程的窗口，安装消息钩子截取游戏账号密码通过URL方式将账号信息发送到作者指定的地址中。

二、“感染者”（Virus/Win32.Daum.a） 威胁级别：★★★★

    该文件是被病毒感染后的文件。该病毒为感染式病毒，病毒通过修改导入表的方式使被感染文件在调用某一个动态链接库的时候将首先执行病毒代码，执行完毕后将转到正常调用的函数的代码。病毒的代码将向资源管理器进程中注入远程线程，检测窗口类名称为“TibiaClient”的窗体，读取进程内部的内存数据。

安天反病毒工程师建议