魔兽木马由VC编写，激活后于C:\Program Files\NetMeeting\生成副本，并修改注册表，开机启动。检测魔兽世界进程，记录其键盘输入操作，保存至avpms.cfg并发送木马作者……

　　文件名称：avpms.exe

　　文件大小：13872 bytes

　　病毒命名：

　　卡巴斯基—Trojan-PSW.Win32.WOW.abn

　　AVG—PSW.OnlineGames.OCF

　　DrWeb—Trojan.PWS.Wsgame.origin

　　加壳方式：UPack

　　编写语言：Microsoft Visual C++ 6.0

　　病毒类型：魔兽世界盗号木马

　　文件MD5：06fbc12f0fa935b93844f9aea6e1a0e0

　　病毒描述：

　　该病毒由VC编写，激活后于C:\Program Files\NetMeeting\生成副本，并修改注册表，开机启动。通过检测网游魔兽世界的进程(Wow.exe)，记录其键盘输入(密码)操作，保存至avpms.cfg并发送木马作者。

　　行为分析：

　　1、释放病毒副本：

　　C:\Program Files\NetMeeting\avpms.cfg 824 字节

　　C:\Program Files\NetMeeting\avpms.dat 8258 字节

　　C:\Program Files\NetMeeting\avpms.exe 116368 字节

　　2、添加注册表，开机自启：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avpms

　　注册表值 avpms = REG_SZ,"C:\Program Files\NetMeeting\avpms.exe "

　　3、avpms.dat注入Explorer，设置全局挂钩，检测魔兽世界游戏进程启动，并监视其键盘(帐号密码)输入操作。

　　4、保存的键盘操作，保存至avpms.cfg，并发送外部。

　　解决方法：

　　1、 http://gudugengkekao.ys168.com

　　PowerRmv和SREng

　　2、打开PowerRmv，选上抑制对象生成，填入：

　　C:\Program Files\NetMeeting\avpms.cfg

　　C:\Program Files\NetMeeting\avpms.dat

　　C:\Program Files\NetMeeting\avpms.exe

　　2、打开SREng，删除：

　　注册表：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

　　3、重启电脑，修改魔兽世界密码。(如果有)