病毒名称(中文):
狂盗ui
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
693008
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取大量游戏帐户的木马,该木马与传统木马不同的是已经不局限于一种游戏或软件的帐户,通过监视大量的游戏和软件的登陆界面,来hook用户的键盘输入.并且会结束大量的安全软件,并且卸载安全软件的服务删除安全软件的文件.添加用户,开启后门.对用户的危害极大.
1.生成文件可能是以下随机的几种:
%systemroot%\svchost.exe
%systemroot%\iexplorer.exe
%systemroot%\\my\iexplorer.exe
%systemroot%\temp\ssshost.exe
%systemroot%\\my\ssshost.exe
2.结束以下服务:
IPHOOK
HOOKTDI1
HOOKSys
HookReg
HookCont
HOOKAPI
ExpScaner
RfwService
RsCCenter
RsRavMon
KVDP
KVSrvXP
KWatchSvc
KWatch3
KPfwSvc
KNetWch
3.结束以下进程:
pfw.exe
kvfw.exe
iamapp.exe
nmain.exe
freepp.EXE
freekav.EXE
freesys.EXE
Iparmor.exe
trojan_hunter.exe
Rfw.exe
KVMonXP.kxp
KVCenter.kxp
KvXP.kxp
KAVPFW.EXE
KWatch.EXE
4.结束含有以下字符的窗口进程:
rav
瑞星
病毒
杀毒
木马
金山毒霸
5.监视以下游戏的窗口,盗取用户敏感信息:
热血江湖
烈火奇迹
梦幻西游
传奇
天堂Ⅱ
大话西游
剑网Ⅱ
封神榜
航海世纪
剑侠情缘
英雄
万王之王
三国群英
天堂
科隆
传说
洛奇
神迹
永恒
猛将
轩辕
天骄
龙魂童话
真封神
魔兽
传奇世界
泡泡堂
刀剑
奇迹
英雄年代
神迹
红月
丝路传说
仙界传
星钻
6.在注册表起始项中查找以下的键,并且删除对应键值文件夹下的所以文件:
SKYNETPersonalFireWall
iDubaPersonalFireWall
KavStart
KvMonXP
iamapp
rfw
popproxy
RavMon
RavTimer
