病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
22105
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取传奇世界帐号的木马。该木马运行后,首先复制自身到系统目录下,并冒名为rav32.exe,添加注册表启动项随浏览器启动,然后删除自身;该病毒会关闭一些杀毒软件及防火墙进程;该木马的危害是盗取用户传奇世界的帐号和密码,并通过网络发送到指定站点。
1,生成文件
%system%\rav32.exe
2,添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"27"="%system%\rav32.exe"
3,关闭进程
rav32.exe
csrss32.exe
wdnmgr.exe
assistse.exe
ravmon.exe
ravtimer.exe
rfw.exe
kavpfw.exe
kpfwsvc.exe
kavstart.exe
kwatch.exe
kavplus.exe
mailmon.exe
kpopmon.exe
kwatchui.exe
kavsvc.exe
kvapfw.exe
kvfw.exe
kvmonxp.kxp
kvsrvxp.exe
kvxp.kxp
kvcenter.kxp
kregex.exe
trojdie.kxp
defwatch.exe
rtvscan.exe
ccapp.exe
ccsetmgr.exe
vptray.exe
passwordguard.exe
eghost.exe
iparmor.exe
pfw.exe
teregpct.exe
dfvsnet.exe
netbargp.exe
nmain.exe
navw32.exe
kavsvcui.exe
kav32.exe
4,通过批处理程序删除自身,达到隐身
