病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
67329
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个盗取网游“传奇”帐号信息的木马。
1、病毒复制自身到%system%\msime.exe并删除原病毒文件。
2、修改注册表,禁止天网防火墙开机自动运行
[HKLM\System\CurrentControlSet\Services\SKNFW]
"DeleteFlag"=0x1
[HKLM\System\CurrentControlSet\Services\SKNFW]
"Start"=0x4
添加启动项,使病毒开机自动运行:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"KernelFaultCheck"="C:\WINDOWS\system32\msime.exe..."
3、查找如下反病毒软件进程,找到则终止进程
assistse.exe,kregex.exe,trojdie.kxp,kvsrvxp.exe,kvmonxp.kxp,
frogagent.exe,kvxp.kxp,ccenter.exe,ravmond.exe,ravmon.exe,
rfwmain.exe,rfwsrv.exe,kpfwsvc.exe,kavpfw.exe,kavstart.exe,
kmailmon.exe,kwatch.exe,avp.exe,kav.exe,kavsvc.exe,rtvscan.exe,
ccsetmgr.exe,defwatch.exe,ccevtmgr.exe,ccapp.exe,mcshield.exe,
mcvsescn.exe,mcdetect.exe,mcmnhdlr.exe,trojanwall.exe,
fygtcleaner.exe,mantispm.exe,vsmon.exe,isafe.exe,zlclient.exe,
pcclient.exe,pcctlcom.exe,tmpfw.exe,tmntsrv.exe,tmproxy.exe,
pccguide.exe,iparmor.exe,xfilter.exe,filmsg.exe,avengine.exe,
pavsrv51.exe,psimsvc.exe,pavprsrv.exe,tpsrv.exe,pavprsrv.exe,
apvxdwin.exe,srvload.exe,webproxy.exe
查找系统中如下防病毒软件服务,若找到则删除服务。
KVSrvXP,KVWSC,KWatchSvc,KPfwSvc,AVP,kavsvc,,RsCCenter,McTskshd.exe,
McDetect.exe,CAISafe,vsmon,Tmntsrv,PcCtlCom,TmPfw,tmproxy,pmshellsrv,
PAVSRV,PAVFNSVR,PSIMSVC,PNMSRV,PavPrSrv,TPSrv
4、病毒会寻找传奇客户端的游戏登录窗口以及“小可爱”登录外挂窗口,找到后获得用户帐号的相关信息,并通过网络发送给种马者。
