病毒大百科

这是一个使用Delphi编写的感染型木马病毒。病毒运行后会查找卡巴斯基监控窗口并关闭，然后在后台悄悄连接网络，从远程服务器下载病毒至用户计算机。病毒会感染用户磁盘上的所有.EXE和.SCR文件，感染后的文件会多出一个名为".KAO"的节，这时感染的文件日期即为被感染时间。

(1)病毒运行后会先CreateMutexA创建互斥体"avpkav"，防止重复运行，如果创建失败则退出
(2)然后枚举进程窗口，关闭卡巴斯基实时监控窗口AVP.Tray
(3)使用FindWindowA查找IE窗口，如果不存在，病毒会创建一个新的，并注入，在后台连接网络悄悄下载病毒
(4)创建线程，感染用户磁盘所有.EXE和.SCR文件，感染后的文件会多出一个名为".KAO"的节，这时感染的文件日期即为被感染时间
(5)使用URLDownloadToFileA从远程服务器下载病毒至用户计算机
hxxp://xx.avpkav.com/avp.exe
hxxp://xx.avpkav.com/ver.txt
(6)病毒不会感染包括以下关键字目录下的文件
WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
Config.Msi
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings
Common Files