Win32.Troj.WOW.fg

   

   病毒别名： 处理时间：2006-12-28 威胁级别：★
中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一个魔兽盗号木马。建议电脑用户升级病毒库查杀该病毒，以免中毒受害。

1、生成的文件
%SystemRoot%\system32\windhcp.ocx

2、添加伪系统服务，随系统启动
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"Type" = "0x10"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"ImagePath" = "%SystemRoot%\system32\rundll32.exe windhcp.ocx,start"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"DisplayName" = "Windows DHCP Service"
HKLM\System\CurrentControlSet\Services\WinDHCPsvc
"Des cription" = "为远程计算机注册并更新 IP 地址。"

3、释放病毒安装一临时驱动，结束相关安全软件进程
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
"Type" = "0x1"
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
"Start" = "0x4"
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
"ImagePath" = "\??\%SystemRoot%\system32\Drivers\CelInDriver.sys"

4、生成一bat文件实现自删除。