§ 概述

病毒别名：

处理时间：

威胁级别：★★

中文名称：武汉男生

病毒类型：木马

影响系统：Win9x / WinNT

§ 病毒行为:

这是一个窃取传奇账号密码的木马病毒。该病毒会修改.txt的文件关联到病毒文件，使得每次打开文本文件的时候该病毒都会被运行一次。此外该病毒还会关闭一些常见的反病毒软件，导致系统的安全性能严重下降。病毒将窃取到的传奇账号密码发送到黑客指定的邮箱中。

1)建立互斥体Hx9Ea9PW，防止病毒的多个实例同时运行。

2)将病毒拷贝到：

%System%\\windows.exe

%System%\\system32.exe

%System%\\Microsoft.exe

3)通过修改注册表和system.ini来实现病毒的开机自启动：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

"windows update"="%System%\\Microsoft.exe"

HKEY_LCOAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"shell"="Explorer.exe %System%\\windows.exe"

修改system.ini：

【boot】

"shell"="Explorer.exe %System%\\windows.exe"

4)修改.txt文件关联到病毒文件：

HKEY_CURRENT_USER\\txtfile\\shell\\open\\command

"default"="%System%\\system32.exe %1"

5)关闭下列反病毒软件：

密码防盗专家 综合版

PasswordGuard.exe

Symantec AntiVirus 企业版

江民杀毒软件 KV2004：实时监视

天网防火墙个人版

天网防火墙企业版

密码防盗

绿鹰PC

QQ病毒专杀工具

腾讯QQ病毒

噬菌体

木马克星

Iparmor.exe

MAILMON.EXE

KAVPFW.EXE

• 通风服
• 通风机
• 通风机全压
• 通风机动压
• 通风机特性曲线
• 通风机静压
• 通风网络图
• 通风阻力
• 通风隔声窗
• 通馗
• 通香丸
• 通驭
• 通骨消
• 通鸣散
• 通黠
• 通鼻子
• 通鼻抗感剂
• 通�a
• 闭关主义
• 闭关修行
• 闭关政策
• 闭关�~市
• 闭包
• 闭区域
• 闭区间