Win32.Troj.PswWOW.k

病毒别名： 处理时间：2006-05-30 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个通过监听键盘消息截取魔兽世界帐号和密码的木马。

1：拷贝文件

病毒运行后，会把自己拷贝到系统目录下，并命名为algetgletu.exe。

如下：

%System%\\algetgletu.exe

2：更改注册表

病毒会在注册表键中添加一项，使自己能随Windows启动

HEKY_LOCAL_MACHINE_SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

systwyels -> %System%\\algetgletu.exe

3：中止指定的进程

病毒会不断的检测系统中的进程，一但发现有反病毒软件的进程，

就会把它中止掉。

被中止的进程如下：

kav32.exe

kvsrvui.exe

kvxp.kxp

pwf.exe

system.exe

iparmor.exe

kvmonxp.kxp

kavsvc.exe

kav.exe

rfwsrv.exe

rfwmain.exe

ravtimer.exe

ravstub.exe

ravmond.exe

ravmon.exe

4：监听消息

病毒若发现用户登录魔兽世界的窗口，则监听键盘，

记录下用户输入的帐号与密码，并通过自带的邮件引擎发送到木马种植者的邮箱上。