病毒名称(中文):Win32.Troj.OnlineGamesT.nf.94208

病毒别名:盗号木马已经多到没办法命名的地步，大部分盗号木马没有详细分析，只用自动分析流程提取了病毒特征

威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:38032
影响系统:Win9x WinNT Win2000WinXP Win2003

病毒行为:
这是一个盗号木马。病毒运行后，释放病毒文件至"NetMeeting"文件夹，修改注册表启动项。病毒通过注入桌面进程，监控网络游戏魔域窗口，并盗取用户帐号、密码、密保等信息，发送给远程盗号者，损害用户利益。
1.复制自身至（木马最重要的特征是伪装，通常会把自身伪装为正常文件，创建的木马程序通常在系统文件夹下）
%programfiles%\NetMeeting\ravmymon.exe
然后释放文件
%programfiles%\NetMeeting\ravmymon.cfg
%programfiles%\NetMeeting\ravmymon.dat
最后使用批处理删除自身
2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runravmymon "%programfiles%\NetMeeting\ravmymon.exe"
3.注入桌面进程，监控网络游戏魔域窗口，盗取用户帐号、密码、密保等信息，并发送至远程服务器
hxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s


解决方案：
这个木马并不复杂，木马注入了explorer进程，监控游戏客户端盗号。
中毒后，启动到安全模式下病毒也会执行，金山毒霸2008（2007近期也已经更新）的抢先杀毒功能（bootclean)，可以一次重启将病毒清除。

通用的防木马原则：
1.木马大多数情况下使用社会工程学欺骗，来入侵电脑，用户应对小心浏览一些看起来不太正规的网站。
2.使用漏洞扫描修复工具防止病毒因为系统漏洞入侵
3.安装杀毒软件，并保持监控有效。