病毒别名：

处理时间：2005-08-08

威胁级别：★

中文名称：剑侠大盗

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗取剑侠情缘·网络版游戏帐号和密码的木马。该病毒会拷贝自身到系统目录下%system%\\Classic.exe，然后删除自身，运行系统目录下的副本，并添加启动项。病毒发作时，搜索标题为"剑侠情缘·网络版"，窗口类为"Sword3 Class"的窗口，并记录下用户帐号、密码，并主机名、操作系统，发送到指定网址。给广大玩家造成了心理和物质上的严重损失。

1，生成文件

%system%\\Classic.exe

2，添加注册表

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run

911="%system%\\Classic.exe"

3，关闭进程

classic.exe

assistse.exe

ravmon.exe

ravtimer.exe

rfw.exe

kavpfw.exe

kpfwsvc.exe

kavstart.exe

kwatch.exe

kavplus.exe

mailmon.exe

kpopmon.exe

kwatchui.exe

kavsvc.exe

kvapfw.exe

kvfw.exe

kvmonxp.kxp

kvsrvxp.exe

kvxp.kxp

kvcenter.kxp

defwatch.exe

rtvscan.exe

ccapp.exe

ccsetmgr.exe

vptray.exe

passwordguard.exe

eghost.exe

iparmor.exe

pfw.exe

teregpct.exe

dfvsnet.exe

netbargp.exe

nmain.exe

navw32.exe

kavsvcui.exe

kav32.exe