Win32.Troj.KillAv.ae.155648 手动专杀及 病毒资料

这个病毒属于一个盗号木马家族。它会关闭一些安全软件的进程，然后盗号。这批木马分工明确，会针对不同的游戏采用不同的盗号方式。

1.病毒被载入后首先检测自身是否处在进程explorer.exe中，确认自身被explorer.exe加载则开始执行病毒行为。

2.在explorer.exe进程内创建远程线程，将一些病毒信息写入%windir%\win.ini,创建远程线程加载
msosping00.dll。

3.修改注册表如下位置，将该dll注入系统内全部进程
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows，
"AppInit_Dlls"=msosping00.dll。

4.复制自身到%Windir%\system32目录下。

5.检测已注入的进程中是否存在安全工具和杀毒软件进程，包括KWatch.exe,KPPMain.exe,360tray.exe,360safe.exe等，发现这些进程时利用TerminateProcess结束进程。

6.检测已注入的进程中是否有指定的网游进程如HX2GAME.EXE，读取游戏进程中指定的内存信息，保存在文件config.ini中，发送这些信息到指定地址，这样病毒作者就窃取到游戏用户的帐号信息。