上周，金山反病毒中心截獲一個(gè)以盜取“魔域”、“完美世界”和“浩方游戲平臺(tái)”為目的的木馬病毒，該病毒名為Win32.Troj.OnlineGames.ms.18432，自上周四出現(xiàn)以來(lái)已經(jīng)衍生多個(gè)變種。金山客服中心接到大量用戶投訴，反映系統(tǒng)重啟無(wú)法顯示桌面。金山毒霸（病毒庫(kù)版本2007.04.07.16）已經(jīng)可以查殺該病毒目前所有變種。

病毒分析報(bào)告：
這是一個(gè)盜取“魔域”、“完美世界”和“浩方游戲平臺(tái)”帳號(hào)為目的的木馬，它用特殊的方法逃避殺毒軟件的查殺，可能是病毒作者制作程序的BUG導(dǎo)致系統(tǒng)重啟時(shí)，無(wú)法正常顯示桌面。

1：拷貝文件
病毒運(yùn)行后，會(huì)把自己拷貝到系統(tǒng)目錄中
C:\WINDOWS\system32\wsttrs.exe
并釋放一個(gè)病毒文件
C:\WINDOWS\system32\wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)
之后病毒體會(huì)自刪除

2：添加啟動(dòng)項(xiàng)
病毒會(huì)在注冊(cè)表中添加一啟動(dòng)項(xiàng)，使自己隨Windows啟動(dòng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"wsttrs" = "C:\WINDOWS\wsttrs.exe"
可能是木馬作者的疏忽，正是這個(gè)下次開(kāi)機(jī)自動(dòng)加載的程序?qū)е孪到y(tǒng)不能正常顯示桌面。

3：關(guān)閉殺毒軟件
病毒會(huì)尋找殺毒軟件的窗口，并關(guān)閉該窗口。如果發(fā)現(xiàn)殺毒軟件主程序被關(guān)閉，正是病毒入侵的信號(hào)。

4：盜取帳號(hào)
病毒會(huì)尋找網(wǎng)絡(luò)游戲"魔域"的游戲進(jìn)程，并使用鉤子讀取用戶輸入的游戲帳號(hào)與信息，并把得到的信息通過(guò)wsttrs.dll文件以網(wǎng)站上傳的方式發(fā)送到木馬種植者事先指定的網(wǎng)站上去，使用戶的游戲帳號(hào)丟失。

以下是該病毒的手動(dòng)解決方案：
1、在windows XP及其以上系統(tǒng)中：
當(dāng)無(wú)法進(jìn)入桌面的時(shí)候，調(diào)出windows任務(wù)管理器（Ctrl+Alt+Delete調(diào)出），切換到進(jìn)程標(biāo)簽，然后找到 wsttrs.exe進(jìn)程，選中后單擊右鍵結(jié)束進(jìn)程，既可正常顯示桌面。





2、在windows 2000及其它系統(tǒng)中
重啟系統(tǒng)時(shí)，連續(xù)快速按F8，在啟動(dòng)菜單中選擇帶網(wǎng)絡(luò)連接的安全模式啟動(dòng)，在線升級(jí)毒霸到最新版本（2007.04.07.16），對(duì)windows目錄進(jìn)行查毒，病毒查殺結(jié)束后，重啟系統(tǒng)即可正常顯示桌面。
3、當(dāng)以上兩種方案都不能成功，則有可能是該病毒的最新變種，應(yīng)進(jìn)入安全模式，打開(kāi)注冊(cè)表編輯器，定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce       （注意是RunOnce不是Run），查找啟動(dòng)程序位于 系統(tǒng)盤(pán)\windows 或者 系統(tǒng)盤(pán)\WinNT 文件夾下的啟動(dòng)項(xiàng)。
例如： 
wstthrs                   c:\windows\wsttrs.exe
或者
wstthrs                   c:\winnt\wsttrs.exe
刪除該鍵值，根據(jù)注冊(cè)表中提供的程序路徑，找到該病毒文件，按ctrl+X剪切，在桌面（或其它位置）按Ctrl+V粘貼該病毒文件，然后訪問(wèn)up.duba.net，向金山毒霸提交該文件。最后，刪除該樣本文件，重啟系統(tǒng)。

最新評(píng)論