病毒行为：
这是一个盗取江山游账户信息的木马病毒,该病毒会结束大量的安全软件,监控江山游的登陆窗口获取敏感信息,把记录的信息发送给木马种植者.


1.生成文件:
C:\haoma.ini
%WINNT%\system32\agetltjer.exe
%WINNT%\system32\psapi.lib
%WINNT%\system32\rastuejs.dll

2.添加注册表起始项,使病毒开机运行:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavUpfer "agetltjer.exe"


3.结束以下进程:
ravmond.exe
ravmon.exe
adam.exe
ravstub.exe
ravtimer.exe
rfwmain.exe
rfwsrv.exe
kav.exe
kavsvc.exe
kvmonxp.kxp
iparmor.exe
system.exe
pwf.exe
kvxp.kxp
symantec.exe
kvsrvui.exe
kav32.exe