病毒别名：

处理时间：

威胁级别：★★

中文名称：梦幻西游盗号器

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个盗取梦幻西游帐号信息的木马病毒。该病毒首先会尝试关闭一些常用病毒防火墙和一些反木马程序，如金山网镖、瑞星防火墙、天网防火墙、木马克星等。然后就挂钩系统的鼠标和键盘消息，截取用户的梦幻西游帐号信息，并将这些帐号信息发送到木马种植者预定的邮箱。

1.创建信号量SemaphorexyMuMa防止多个实例同时运行。

2.将自己复制为%SystemRoot%\\inf\\rundll32.exe，释放文件%System32%\\xydll.dll（117248字节）

3.在注册表中添加

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"loadMexy"="%SystemRoot%\\inf\\rundll32.exe"

4.查找窗口名和窗口类为：

RavMon.exe

RavMonClass

天网防火墙个人版

Tapplication

天网防火墙企业版

TForm1

噬菌体

TfLockDownMain

ZoneAlarm

ZAFrameWnd

的窗口并关闭它们。

终止进程：

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

5.通过查找窗口“WSGAME”和“梦幻西游ONLINE”截取用户的梦幻西游帐号信息保存在：

c:\\gamexy.txt

c:\\gamect2.txt