文件名稱：avpms.exe

　　文件大小：13872 bytes

　　病毒命名：

　　卡巴斯基—Trojan-PSW.Win32.WOW.abn

　　AVG—PSW.OnlineGames.OCF

　　DrWeb—Trojan.PWS.Wsgame.origin

　　加殼方式：UPack

　　編寫語言：Microsoft Visual C++ 6.0

　　病毒類型：魔獸世界盜號木馬

　　文件MD5：06fbc12f0fa935b93844f9aea6e1a0e0

　　病毒描述：

　　該病毒由VC編寫，激活后于C:\Program Files\NetMeeting\生成副本，并修改注冊表，開機(jī)啟動。通過檢測網(wǎng)游魔獸世界的進(jìn)程(Wow.exe)，記錄其鍵盤輸入(密碼)操作，保存至avpms.cfg并發(fā)送木馬作者。

　　行為分析：

　　1、釋放病毒副本：

　　C:\Program Files\NetMeeting\avpms.cfg 824 字節(jié)

　　C:\Program Files\NetMeeting\avpms.dat 8258 字節(jié)

　　C:\Program Files\NetMeeting\avpms.exe 116368 字節(jié)

　　2、添加注冊表，開機(jī)自啟：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avpms

　　注冊表值 avpms = REG_SZ,"C:\Program Files\NetMeeting\avpms.exe "

　　3、avpms.dat注入Explorer，設(shè)置全局掛鉤，檢測魔獸世界游戲進(jìn)程啟動，并監(jiān)視其鍵盤(帳號密碼)輸入操作。

　　4、保存的鍵盤操作，保存至avpms.cfg，并發(fā)送外部。

　　解決方法：

　　1、 http://gudugengkekao.ys168.com/下載

　　PowerRmv和SREng

　　2、打開PowerRmv，選上抑制對象生成，填入：

　　C:\Program Files\NetMeeting\avpms.cfg

　　C:\Program Files\NetMeeting\avpms.dat

　　C:\Program Files\NetMeeting\avpms.exe

　　2、打開SREng，刪除：

　　注冊表：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　3、重啟電腦，修改魔獸世界密碼。(如果有)