魔獸木馬由VC編寫(xiě)，激活后于C:\Program Files\NetMeeting\生成副本，并修改注冊(cè)表，開(kāi)機(jī)啟動(dòng)。檢測(cè)魔獸世界進(jìn)程，記錄其鍵盤(pán)輸入操作，保存至avpms.cfg并發(fā)送木馬作者……

　　文件名稱：avpms.exe

　　文件大�。�13872 bytes

　　病毒命名：

　　卡巴斯基?Trojan-PSW.Win32.WOW.abn

　　AVG?PSW.OnlineGames.OCF

　　DrWeb?Trojan.PWS.Wsgame.origin

　　加殼方式：UPack

　　編寫(xiě)語(yǔ)言：Microsoft Visual C++ 6.0

　　病毒類型：魔獸世界盜號(hào)木馬

　　文件MD5：06fbc12f0fa935b93844f9aea6e1a0e0

　　病毒描述：

　　該病毒由VC編寫(xiě)，激活后于C:\Program Files\NetMeeting\生成副本，并修改注冊(cè)表，開(kāi)機(jī)啟動(dòng)。通過(guò)檢測(cè)網(wǎng)游魔獸世界的進(jìn)程(Wow.exe)，記錄其鍵盤(pán)輸入(密碼)操作，保存至avpms.cfg并發(fā)送木馬作者。

　　行為分析：

　　1、釋放病毒副本：

　　C:\Program Files\NetMeeting\avpms.cfg 824 字節(jié)

　　C:\Program Files\NetMeeting\avpms.dat 8258 字節(jié)

　　C:\Program Files\NetMeeting\avpms.exe 116368 字節(jié)

　　2、添加注冊(cè)表，開(kāi)機(jī)自啟：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avpms

　　注冊(cè)表值 avpms = REG_SZ,"C:\Program Files\NetMeeting\avpms.exe "

　　3、avpms.dat注入Explorer，設(shè)置全局掛鉤，檢測(cè)魔獸世界游戲進(jìn)程啟動(dòng)，并監(jiān)視其鍵盤(pán)(帳號(hào)密碼)輸入操作。

　　4、保存的鍵盤(pán)操作，保存至avpms.cfg，并發(fā)送外部。

　　解決方法：

　　1、 http://gudugengkekao.ys168.com/下載

　　PowerRmv和SREng

　　2、打開(kāi)PowerRmv，選上抑制對(duì)象生成，填入：

　　C:\Program Files\NetMeeting\avpms.cfg

　　C:\Program Files\NetMeeting\avpms.dat

　　C:\Program Files\NetMeeting\avpms.exe

　　2、打開(kāi)SREng，刪除：

　　注冊(cè)表：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　3、重啟電腦，修改魔獸世界密碼。(如果有)