魔獸地獄烈焰作怪　關閉進程系統出異常

【賽迪網-IT技術報道】「魔獸地獄烈焰盜號者」(PE.Win32.PSWTroj.OnLineGames.90112)是一個針對網游《魔獸世界》盜號木馬程序。它會關閉殺毒軟體卡巴斯基的進程，然後盜取電腦上網絡遊戲《魔獸世界》的賬號信息。為阻止用戶查殺，它還注入系統關鍵進程中運行，造成直接關閉進程時系統運行可能出現異常。

病毒名稱(中文)：魔獸地獄烈焰盜號者

威脅級別：★★☆☆☆

病毒類型：偷密碼的木馬

病毒長度：90112

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是一個針對網游《魔獸世界》盜號木馬程序。它會關閉殺毒軟體卡巴斯基的進程，然後盜取電腦上網絡遊戲《魔獸世界》的賬號信息。為阻止用戶查殺，它還注入系統關鍵進程中運行，造成直接關閉進程時系統運行可能出現異常。

1.程序運行後，修改文件

%windows%win.ini

添加新節

[cqit]

cqit=msoscqit00.dll

便於用cqit代替病毒文件，免得用戶懷疑。

2.創建批處理程序，將自己的源文件刪除，避免被用戶發現。

3.在註冊表中添加了註冊項，註冊為服務，設為自啟動，如下：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/fpids32HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows項名：AppInit_DLLs "" 值：hex(2):6d,73,6f,73,63,71,69,74,30,30,2e,64,6c,6c,00即msoscqit00.dll

4.將生成的文件msoscqit00.dll用cqit名注入系統進程services.exe中，搜索魔獸世界的進程，枚舉窗口名，查找是否有名字為msos的遊戲窗口。一旦發現目標，病毒就會通過記憶體讀寫的方式竊取玩家的賬號信息，並將其發送到木馬作者指定的多個遠程伺服器。

(