上周，金山反病毒中心截獲一個以盜取“魔域”、“完美世界”和“浩方游戲平臺”為目的的木馬病毒，該病毒名為Win32.Troj.OnlineGames.ms.18432，自上周四出現(xiàn)以來已經衍生多個變種。金山客服中心接到大量用戶投訴，反映系統(tǒng)重啟無法顯示桌面。金山毒霸（病毒庫版本2007.04.07.16）已經可以查殺該病毒目前所有變種。

病毒分析報告：
這是一個盜取“魔域”、“完美世界”和“浩方游戲平臺”帳號為目的的木馬，它用特殊的方法逃避殺毒軟件的查殺，可能是病毒作者制作程序的BUG導致系統(tǒng)重啟時，無法正常顯示桌面。

1：拷貝文件
病毒運行后，會把自己拷貝到系統(tǒng)目錄中
C:\WINDOWS\system32\wsttrs.exe
并釋放一個病毒文件
C:\WINDOWS\system32\wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)
之后病毒體會自刪除

2：添加啟動項
病毒會在注冊表中添加一啟動項，使自己隨Windows啟動
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"wsttrs" = "C:\WINDOWS\wsttrs.exe"
可能是木馬作者的疏忽，正是這個下次開機自動加載的程序導致系統(tǒng)不能正常顯示桌面。

3：關閉殺毒軟件
病毒會尋找殺毒軟件的窗口，并關閉該窗口。如果發(fā)現(xiàn)殺毒軟件主程序被關閉，正是病毒入侵的信號。

4：盜取帳號
病毒會尋找網絡游戲"魔域"的游戲進程，并使用鉤子讀取用戶輸入的游戲帳號與信息，并把得到的信息通過wsttrs.dll文件以網站上傳的方式發(fā)送到木馬種植者事先指定的網站上去，使用戶的游戲帳號丟失。

以下是該病毒的手動解決方案：
1、在windows XP及其以上系統(tǒng)中：
當無法進入桌面的時候，調出windows任務管理器（Ctrl+Alt+Delete調出），切換到進程標簽，然后找到 wsttrs.exe進程，選中后單擊右鍵結束進程，既可正常顯示桌面。





2、在windows 2000及其它系統(tǒng)中
重啟系統(tǒng)時，連續(xù)快速按F8，在啟動菜單中選擇帶網絡連接的安全模式啟動，在線升級毒霸到最新版本（2007.04.07.16），對windows目錄進行查毒，病毒查殺結束后，重啟系統(tǒng)即可正常顯示桌面。
3、當以上兩種方案都不能成功，則有可能是該病毒的最新變種，應進入安全模式，打開注冊表編輯器，定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce       （注意是RunOnce不是Run），查找啟動程序位于 系統(tǒng)盤\windows 或者 系統(tǒng)盤\WinNT 文件夾下的啟動項。
例如： 
wstthrs                   c:\windows\wsttrs.exe
或者
wstthrs                   c:\winnt\wsttrs.exe
刪除該鍵值，根據注冊表中提供的程序路徑，找到該病毒文件，按ctrl+X剪切，在桌面（或其它位置）按Ctrl+V粘貼該病毒文件，然后訪問up.duba.net，向金山毒霸提交該文件。最后，刪除該樣本文件，重啟系統(tǒng)。

最新評論