本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1、通过进程快照，关闭一些常用安全软件：avp.exe、nod32.exe、kav32.exe、ravmond.exe、kvwsc.exe、navapsvc.exe、vsserv.exe、ashdisp.exe、avconsol.exe、avguard.exe、vsmon.exe

行为分析：
这是一个目标范围比较广的盗号木马。它能盗窃网络游戏《魔兽世界》和yahoo、google、live等电子邮箱的帐号和密码。它具有对抗能力，会关闭一些主流安全软件的进程，并强制删除系统的防火墙模块。

描述：
1、通过进程快照，关闭一些常用安全软件：avp.exe、nod32.exe、kav32.exe、ravmond.exe、kvwsc.exe、navapsvc.exe、vsserv.exe、ashdisp.exe、avconsol.exe、avguard.exe、vsmon.exe、pfw.exe、ccapp.exe、sphinx.exe、kavpfw.exe、ravmon.exe，将其产品标识写入缓存，与帐号等信息一并发到作者指定网址，若为防火墙类其模块强制卸载，以防进行通讯过程被防火墙阻拦。



2、创建新的线程，盗取网页中邮箱或其他通行证的帐号，盗取yahoomsg帐号信息，并强制卸载firefox.exe模块



3、对网页文件进行监控，盗取在网页上输入的通行证帐号和密码，对包含以下字段的网址监控：

".worldofwarcraft."

".wow-europe."

"Web.de"

"yahoo.com"

"google.com"

"live.com"

"comcast.net"

"aol.com"

"cox.net"

通过一个变量标识用户所打开的网页，然后针对相应网页的布局结构，对其帐号和密码输入框进行监控，读取其输入框的文本并以网页提交的方式，提交到作者指定网址：提交数据格式为：%s?u=%s&a=%s&m=%s&url=%s&action=%s或%s?u=%s&p=%s&url=%s&action=%s

其中u=帐号

Pa=密码　

url = 网页标识

m=email

action= mailfindmfof



3、盗取yahoomsg帐号信息

首先通过修改注册表，使yahoomsg变为自动登陆，这样就可以使打开客户端后，帐号密码自动输入相应的文本框，便于程序读取，然后查找其登陆框，若发现则采用发送WM_GETTEXT消息的方式分别读取帐号输入框和密码输入框，并以网页提交方式发送到作者指定网址



4、强制卸载firefox.exe模块，强制卸载firefox.exe模块



5、查找wow.exe,读取游戏配置文件wtf\config.wtf，查找所登陆服务器是否为以下地址：中国大陆服务器（ch）：grunt.wowchina.com韩国服务器(kr)：kr.version.worldofwarcraft.com、kr.logon.worldofwarcraft.com美国服务器(us)：us.version.worldofwarcraft.com、us.logon.worldofwarcraft.com中国台湾服务器(tw)：tw.version.worldofwarcraft.com、tw.logon.worldofwarcraft.com欧洲服务器(eu)：eu.version.worldofwarcraft.com、eu.logon.worldofwarcraft.com，取得服务器地域信息



6、修改游戏内存，使得游戏运行时将帐号等信息写入病毒设定的配置文件%SystemRoot%1.ini，其文件有以下项：us(帐号)、 pw(密码) 、money（金钱）、uu、%x等一些帐户信息和一些装备信息　



7、查找msnmsgr.exe进程，并修改其内存，使其将其帐号信息写入配置文件%SystemRoot%2.ini



8、读取配置文件%SystemRoot%1.ini信息，并以网页提交的方式提交到作者指定网址：

www.y****7.com/sxxx/zh/get.asp?us=%s&ps=%s&lv=%s&se=%s&qu=%s&os=%s

若配置文件%SystemRoot%1.ini中money不为0,用下面这种格式提交数据,即再将用户机器所用的安全软件的信息提交：

www.y****7.com/sxxx/zh/get.asp?%s?us=%s&ps=%s&lv=%s&se=%s&qu=%s&os=%s&mo=%s

其中mo为用户机器所用安全软件的类型，os为游戏所用的服务器信息，其他则为游戏帐号装备等信息，