Win32.Troj.KuangDao.ui

病毒名称(中文):

狂盗ui

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

693008

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个盗取大量游戏帐户的木马,该木马与传统木马不同的是已经不局限于一种游戏或软件的帐户,通过监视大量的游戏和软件的登陆界面,来hook用户的键盘输入.并且会结束大量的安全软件,并且卸载安全软件的服务删除安全软件的文件.添加用户,开启后门.对用户的危害极大.

1.生成文件可能是以下随机的几种:

%systemroot%\svchost.exe

%systemroot%\iexplorer.exe

%systemroot%\\my\iexplorer.exe

%systemroot%\temp\ssshost.exe

%systemroot%\\my\ssshost.exe

2.结束以下服务:

IPHOOK

HOOKTDI1

HOOKSys

HookReg

HookCont

HOOKAPI

ExpScaner

RfwService

RsCCenter

RsRavMon

KVDP

KVSrvXP

KWatchSvc

KWatch3

KPfwSvc

KNetWch

3.结束以下进程:

pfw.exe

kvfw.exe

iamapp.exe

nmain.exe

freepp.EXE

freekav.EXE

freesys.EXE

Iparmor.exe

trojan_hunter.exe

Rfw.exe

KVMonXP.kxp

KVCenter.kxp

KvXP.kxp

KAVPFW.EXE

KWatch.EXE

4.结束含有以下字符的窗口进程:

rav

瑞星

病毒

杀毒

木马

金山毒霸

5.监视以下游戏的窗口,盗取用户敏感信息:

热血江湖

烈火奇迹

梦幻西游

传奇

天堂Ⅱ

大话西游

剑网Ⅱ

封神榜

航海世纪

剑侠情缘

英雄

万王之王

三国群英

天堂

科隆

传说

洛奇

神迹

永恒

猛将

轩辕

天骄

龙魂童话

真封神

魔兽

传奇世界

泡泡堂

刀剑

奇迹

英雄年代

神迹

红月

丝路传说

仙界传

星钻

6.在注册表起始项中查找以下的键,并且删除对应键值文件夹下的所以文件:

SKYNETPersonalFireWall

iDubaPersonalFireWall

KavStart

KvMonXP

iamapp

rfw

popproxy

RavMon

RavTimer