病毒别名：

处理时间：2005-09-16

威胁级别：★

中文名称：

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个盗取传奇游戏帐号和密码的木马病毒．

该病毒能够释放病毒文件，增加注册表项，关闭大量安全软件，对explorer进行bho注入，使用户每次打开explorer的时候，病毒自动运行．该病毒还特意把自身随机释放到正常的文件夹下面，如avp,recycler,ollydbg等，使用户误认为是正常程序．

1,随机释放文件到以下目录:

C:\\RECYCLER\\services.exe

D:\\OllyDbg\\IBALDI.dll

C:\\filedebug.dll

C:\\avpdebug\\CHOST.DLL

等

2,增加注册表项，对explorer进行bho注入，使用户每次运行explorer的时候，病毒自动运行．

3,关闭下列进程:

天网防火墙

密码防盗专家

反黑王

瑞星个人防火墙

kingsoft antivirus mail monitor proxy

瑞星个人防火墙2004

金山网镖

江民黑客防火墙

4,建立消息钩子,自动搜索传奇游戏的窗口，安装消息钩子，盗窃帐号和密码等信息

5,利用自带的smtp引擎,把信息发送到指定邮箱.