Win32.Troj.WOW.vf

威胁级别：★

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个《魔兽世界》盗号木马。建议电脑用户升级病毒库查杀该病毒，以免中毒受害。

1、生成的文件

%SystemRoot%\\system32\\windhcp.ocx

2、添加伪系统服务，随系统启动

HKLM\\System\\CurrentControlSet\\Services\\WinDHCPsvc

"Type" = "0x10"

HKLM\\System\\CurrentControlSet\\Services\\WinDHCPsvc

"Start" = "0x2"

HKLM\\System\\CurrentControlSet\\Services\\WinDHCPsvc

"ImagePath" = "%SystemRoot%\\system32\\rundll32.exe windhcp.ocx,start"

HKLM\\System\\CurrentControlSet\\Services\\WinDHCPsvc

"DisplayName" = "Windows DHCP Service"

HKLM\\System\\CurrentControlSet\\Services\\WinDHCPsvc

"Description" = "为远程计算机注册并更新 IP 地址。"

3、释放病毒安装一临时驱动，结束相关安全软件进程

HKLM\\SYSTEM\\CurrentControlSet\\Services\\CelInDrv

"Type" = "0x1"

HKLM\\SYSTEM\\CurrentControlSet\\Services\\CelInDrv

"Start" = "0x4"

HKLM\\SYSTEM\\CurrentControlSet\\Services\\CelInDrv

"ImagePath" = "\\??\\%SystemRoot%\\system32\\Drivers\\CelInDriver.sys"

4、生成一bat文件实现自删除。