病毒行为:

这是一个网游盗号木马。该病毒会盗取"奇迹世界"的帐号信息，并且生成的病毒文件会自启动，关闭瑞星和卡巴的监控，使盗窃者顺利盗取用户的网游信息。

1，复制自身到

%systemroot%\\Kvsc3.exe

释放DLL到

%systemroot%\\system32\\Kvsc3.dll

2，关闭杀软警告

自动关闭卡巴警告窗口AVP.AlertDialog

关闭瑞星监控RavMon.exe

3，添加启动项

启动项名 : "Kvsc3"

对应路径 : "%systemroot%\\Kvsc3.exe"

4，病毒运行后注入Kvsc3.dll到所有进程，通过查找Sungame.exe进程来获取奇迹世界的用户资料信息。

5.通过读取内存来盗取帐号信息。