天高云淡

这是一个C语言编写的病毒，病毒主要功能为窃取网络游戏《魔域》用户密码，具有自我保护功能。

病毒行为如下：

1.病毒首先会调用Process32First，Process32Next函数，查找系统中是否有AVP.EXE进程，假如有则将系统时间变为2003（程序中固定将SystemTime.wYear定为:”2007 (-4)”）,通过修改本地时间，来使得AVP的KEY失效，AVP不能使用。

2.调用FindWindow查找如下窗口：
“Class = “#32770″，Title = “瑞星注册表监控提示”"；
“Class = “#32770″，Title = “IE执行保护”"；
“Class = “#32770″，Title=”瑞星卡卡上网安全助手-IE防漏墙”"；
“AVP.AlertDialog”；
“AVP.Product_Notification”；
“AVP.TrafficMonConnectionTerm”

假如找到如上窗口，病毒会调用SendMessage函数，发送WM_LBUTTONDOWN，WM_LBUTTONUP消息实现模拟鼠标点击事件，通过此方法来通过杀毒软件的防护功能。

3.病毒会调用CopyFile等文件操作的API函数将自身复制到病毒构造指定路径
“C:\Program Files\NetMeeting\ravmymon.exe”下，调用WinExec函数将此文件运行起来，调用DeleteFile将原样本删除。

4.复制到系统中的ravmymon.exe运行后，释放出dll和配置文件分别为以下指定名称，并将此3个文件的属性设置为HIDDEN，SYSTME。
C:\Program Files\NetMeeting\ravmymon.cfg
C:\Program Files\NetMeeting\ravmymon.dat

5.调用CreateRemoteThread起远程线程将动态库ravmymon.dat驻入到EXPLORER.EXE进程中。

6.调用RegSetValueExA，RegCreateKeyExA在注册表中添加自启动项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
“ravmymon” = C:\PROGRAM FILES\NETMEETING\RAVMYMON.EXE

释放出的动态库文件主要作用为盗取魔域游戏密码的功能。

1.该DLL被加载后首先调用CreatMute创建一个互斥量，保证系统中只运行其一个实例。

2.使用SetWindowsHook,CallNextHook挂消息钩子，搜索并结束”soul.exe”的进程，使得用户需要重新登陆游戏，调用FindWindow去查找的游戏窗口”【魔域】”，获得该窗口句柄，查找其相应输入窗口”#32770″，获取用户输入信息。

3.当病毒得到游戏帐号和密码后,病毒传播者将获得的游戏帐号和其密码通过HTTP方式发送到木马散播者的设定的URL中。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.19.40版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Trojan.PSW.Win32.RocOnline.du
截获时间：2007-9-13
入库版本：19.19.40
类型：病毒

感染的操作系统：Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况：

传播级别：中

全球化传播态势：低

清除难度：困难

破坏力：低

破坏手段：窃取网络游戏《魔域》用户密码，有自我保护功能