当前位置:找DLL下载站系统新闻系统问答EXE问答 → wowexec.exe是什么进程、如何区分wowexec.exe病毒

wowexec.exe是什么进程、如何区分wowexec.exe病毒

减小字体 增大字体 作者:佚名  来源:本站整理  发布时间:2012/4/9 10:37:14

进程文件:wowexec 或者 wowexec.exe
进程名称:Microsoft Windows On Windows Execution Process
描述:wowexec.exe是操作系统相关程序,用于支持16位进程。
出品者:Microsoft Corp.

一直以来大家认为这是WINDOWS的自动更新程序,只要关闭自动更新就不会再出现,而且还认为是清理磁盘碎片的进程,这是错误的。系统自动更新的进程是wuauclt.exe,而这个进程确实是关闭自动更新后就不会再出现。
正确的解释是:wowexec.exe 是基于16 位MS-DOS 子系统的虚拟机执行程序。与ntdvm.exe 同时存在,可模拟16位MS-DOS 子系统,以便支持早期的应用程序。

wowexec.exe是系统进程,但是如果前面带一个空格,比如“ wowexec.exe”不一定是病毒。而是父进程下面的子进程,任务管理器中不会显示内存使用。如果让任务管理器不显示16位任务,则会消失。

wowexec.exe病毒分析:

警惕最新QQ.Email蠕虫
病毒名称:Email-Worm.Win32.VB.ac
文件大小:13.279k
编写语言:Microsoft Visual Basic
壳类型:UPX-Scrambler RC1.x ->
近两日,众多QQ用户经常接到别人发来的QQ邮件,请小心不要打开查看,以免中木马。
该蠕虫使用文本图标和。txt.exe扩展名伪装自身,诱导用户执行蠕虫体。 wowexec.exe 会访问编号为:163com[20030606]、IP:202.108.44.153的163信箱,获取升级信息。端口:110
用户wdboxup
密码:shengjile 密码解霸是危害比较大的木马,可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等并增加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:MSIEXEC 键值:“ wowexec.exe”
该木马还会在注册表中增加如下键值,用来存储自身设置:
HKEY_CLASSES_ROOT\ZPwd_box
HKEY_CLASSES_ROOT\ZPwd_box tmUpgrade_p dword:41bfabb0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box tmUpgrade_p dword:41bfabb0