2007-12-12 回答

這是一個偷取多個網路遊戲使用者密碼的病毒 病毒執行後首先會建立一個叫15914244的事件用來防止程序中有多個病毒程序執行。 然後會建立一個執行緒查詢AVP.Product_Notification、瑞星登錄檔監控提示、AVP.AlertDialog這個幾視窗，如果找到傳送WM_CLOSE訊息將它們關閉。 接著呼叫mixerGetLineControls、mixerGetControlDetails等函式關閉使用者的聲音裝置，使得使用者無法聽到防毒軟體的聲音提示。 把自己複製到System32路徑下命名為AVPSrv.exe，新增以下注冊表項實現自啟動： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "AVPSrv" = C:\WINDOWS\AVPSrv.exe 在System32路徑下釋放動態庫檔案AVPSrv.dll，遍歷程序找到Explorer.exe程序，透過遠端執行緒把自己注入到該程序中。 動態庫用來獲取併發送使用者帳號密碼： 動態庫被載入起來後首先會呼叫SetWindowsHookEx函式掛接滑鼠鍵盤鉤子。 然後呼叫OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函式提升自己許可權。 接著判斷自己所在程序是否是SO2Game.exe、LaTaleClient.exe、gameclient.exe、cabalmain.exe這幾個遊戲程序，如果是則結束遊戲程序，當用戶再次運行遊戲時，把自己透過遠端執行緒注入到該程序中，每隔1毫秒查詢遊戲登陸視窗，獲取使用者登陸資訊並存到System32中的.cfg檔案中。 最後把獲得使用者輸入的帳號密碼資訊傳送到指定網址 http://www.niudvd.com/mingmen/lin.asp。 安全建議： 1 安裝正版防毒軟體、個人防火牆和卡卡上網安全助手,並及時升級，瑞星防毒軟體每天至少升級三次。 2 使用“瑞星系統安全漏洞掃描”，打好補丁，彌補系統漏洞。 3 不瀏覽不良網站，不隨意下載安裝可疑外掛。 4 不接收QQ、MSN、Emial等傳來的可疑檔案。 5 上網時開啟防毒軟體實時監控功能。 6 把網銀、網遊、QQ等重要軟體加入到“瑞星帳號保險櫃”中，可以有效保護密碼安全。 清除辦法： 瑞星防毒軟體清除辦法： 安裝瑞星防毒軟體，升級到20.17.12版以上，對電腦進行全盤掃描，按照軟體提示進行操作，即可徹底查殺。