病毒别名：

处理时间：2005-08-22

威胁级别：★

中文名称：

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗取传奇世界帐号的木马。该木马运行后，首先复制自身到系统目录下，并冒名为rav32.exe，添加注册表启动项随浏览器启动，然后删除自身；该病毒会关闭一些杀毒软件及防火墙进程；该木马的危害是盗取用户传奇世界的帐号和密码，并通过网络发送到指定站点。

1，生成文件

%system%\\rav32.exe

2，添加注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

"27" = "%system%\\rav32.exe"

3，关闭进程

rav32.exe

csrss32.exe

wdnmgr.exe

assistse.exe

ravmon.exe

ravtimer.exe

rfw.exe

kavpfw.exe

kpfwsvc.exe

kavstart.exe

kwatch.exe

kavplus.exe

mailmon.exe

kpopmon.exe

kwatchui.exe

kavsvc.exe

kvapfw.exe

kvfw.exe

kvmonxp.kxp

kvsrvxp.exe

kvxp.kxp

kvcenter.kxp

kregex.exe

trojdie.kxp

defwatch.exe

rtvscan.exe

ccapp.exe

ccsetmgr.exe

vptray.exe

passwordguard.exe

eghost.exe

iparmor.exe

pfw.exe

teregpct.exe

dfvsnet.exe

netbargp.exe

nmain.exe

navw32.exe

kavsvcui.exe

kav32.exe

4，通过批处理程序删除自身，达到隐身