病毒别名：

处理时间：2005-10-26

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个盗取传奇网络游戏密码的木马，并将盗取的密码发送到指定的地方，病毒运行后

通过枚举进程，对进程名进行匹配，对含有这样字符串KWATCH* KPOP* ASSISTSE* KV* KREG*的进程结束掉

，尽可能多的结束反病毒软件的进程，同时还会修改注册表中的文件打开关联，保证自己时时被运行

1。拷贝自己到

%systemroot%\\services.exe

%system32%\\rundll32.com

%system32%\\finder.com

%systemroot%\\finder.com

%system32%\\command.pif

%systemroot%\\explorer.com

%systemroot%\\1.com

%systemroot%\\ExERoute.exe

2。添加启动项

HKLM\\software\\microsoft\\windws\\currentversion\\run

"Torjan Program = %systemroot%\\services.exe"

3。修改以下键值为

HKCR\\winfiles\\Shell\\Open\\Command

"C:\\WINNT\\ExERoute.exe "%1" %*"

HKLM\\SOFTWARE\\Classes\\HKCR\\winfiles\\Shell\\Open\\Command

"C:\\WINNT\\ExERoute.exe "%1" %*"

4。通过readprocessmemory来读取传奇进程中的数据，来盗取密码，并将密码发送出去