Win32.PSWTroj.Molibaobei.aa.41164

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

41164

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个盗取用户网游《魔力宝贝》帐号的木马。

1、复制自身为：%WinDir%\system32\agetlkhuey.exe,并运行。

2、添加启动项：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavUptyerkl"%WinDir%\system32\agetlkhuey.exe"

3、查找并关闭窗口："瑞星杀毒软件"

4、尝试关闭以下与安全软件相关的进程：

kav32.exe

kvsrvui.exe

symantec.exe

kvxp.kxp

pwf.exe

system.exe

iparmor.exe

kvmonxp.kxp

kavsvc.exe

kav.exe

rfwsrv.exe

rfwmain.exe

ravtimer.exe

ravstub.exe

ravmond.exe

ravmon.exe

5、病毒运行后会尝试查找并关闭正在运行的《魔力宝贝》以下两个进程：polcn_launcher.exe、cg_se_4908.exe。

6、获取当前窗口，判定窗口内容是否为““易玩通”游戏平台”，是则通过记录用户的键盘输入来获取用户的帐号信息并发送到指定邮箱。