病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
13516
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个盗取游戏魔力宝贝帐号和密码的木马。该病毒运行后,拷贝自身到系统目录,并添加启动项,达到开机启动的目的。该病毒通过监测游戏登陆窗口来盗取帐号和密码以及用户信息,并将盗取的信息通过邮件发送到指定邮箱。该病毒还会结束大量防杀毒软件及防火墙。
1,生成文件
%system%\agetlkme.exe
%system%\rastnms.dll
2,添加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"RavUptek"="%system%\agetlkme.exe"
3,盗取下列信息
魔力宝贝帐号信息:
主机名:
IP地址:
大区名:
服务器:
帐号:
密码:
4,盗取方法
监测““易玩通”游戏平台”窗口,并记录键盘输入。
发送邮件到指定地址。
5,结束进程
kav32.exe
kvsrvui.exe
symantec.exe
kvxp.kxp
pwf.exe
system.exe
iparmor.exe
kvmonxp.kxp
kavsvc.exe
kav.exe
rfwsrv.exe
rfwmain.exe
ravtimer.exe
ravstub.exe
ravmond.exe
ravmon.exe
