病毒名称： Trojan-PSW.Win32.QQPass.btc
病毒类型： 盗号木马
文件 MD5： D1B984CE050452551C91B16523707582
公开范围： 完全公开
危害等级： 4
文件长度： 37,765 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： Upack V0.37 -> Dwing *

　　该病毒为传奇世界游戏盗号木马，病毒运行后复制自身并衍生DLL文件到%Windir%
目录下，分别重命名为49400L.exe、49400WL.DLL，病毒运行后调用CMD命令自我删除，
将病毒文件49400WL.DLL注入到Explorer.exe系统进程；添加注册表项，以达到随机启
动的目的；遍历查找游戏窗口woool.dat，通过截获用户的键盘和鼠标消息获取“传奇世
界”的账号和密码，读取游戏目录里的..\user.ini配置文件,获取用户所在游戏服务器
的相关信息，通过URL发送到木马种植者指定的接收网址。

本地行为：

1、文件运行后会释放以下文件:

　　　　%Windir%\49400L.exe 　　　　37,765 字节
　　　　%Windir%\49400WL.DLL 　　　 45,568 字节

2、添加注册表病毒启动项：

　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　　　　\Windows\CurrentVersion\Run]
　　　　新建键值: "WinSysW"
　　　　类型： REG_SZ
　　　　字符串： “C:\WINDOWS\49400L.exe”
　　　　描述: 添加注册表项，以达到随机启动的目的

3、将病毒文件49400WL.DLL注入到Explorer.exe系统进程。

4、遍历查找游戏窗口woool.dat，读取游戏目录里的..\user.ini配置文件,获取
　 用户所在游戏服务器的相关信息，通过URL发送到木马种植者指定的接收网址。

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　
　　　　　　　　

1 、使用安天防线2008可彻底清除此病毒(推荐)，
　 　请到安天网站下载： www.antiy.com　
2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用ATOOL “进程管理”关闭病毒进程：
　 　 　 结束Explorer.exe进程。
　 　 (2)强行删除病毒文件：
　 　 　 %Windir%\49400L.exe
　 　 　 %Windir%\49400WL.DLL
　 　 (3)删除病毒服务注册表项：
　 　 　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　\Windows\CurrentVersion\Run]
　 　 　新建键值: "WinSysW"
　 　 　类型： REG_SZ
　 　 　字符串： “C:\WINDOWS\49400L.exe”

点击此处下载安天防线2008

病毒上报信箱: submit@virusview.net