病毒别名：处理时间：2006-12-06威胁级别：★
中文名称：病毒类型：木马影响系统：win9x/me,win2000/nt,winxp,win2003
病毒行为:
这是个盗取用户qq帐号的木马，并能通过移动介质传播。

1、将自身复制到%windows%\ctfmon.exe并执行，释放文件%windows%\vmmreg.dll,并将这两个文件设置为系统和隐藏属性。

2、检测软驱，如果存在，则将自身复制为：a:\重要文件.exe

3、将自身复制为除c盘的其它盘根目录下的文件：ravmon.exe，并创建文件autorun.inf，使用户双击打开该盘时就运行病毒，文件内容如下：
[autorun]
open=ravmon.exe

4、修改以下注册表项：
hkcu\software\microsoft\windows\currentversion\internetsettings\syncmode50x3
hkcu\software\microsoft\windows\currentversion\policies\explorer\nodrivetypeautorun0x95
hkcu\software\microsoft\windows\currentversion\policies\explorer\cdrautorun0x0

5、添加启动项：hklm\software\microsoft\windows\currentversion\run\ctfmon"c:\windows\ctfmon.exe"

6、从网址：http://www.jg***.net/myd/mm.exe下载文件到：c:\programfiles\commonfiles\system\adomh.exe，并执行。

7、当检测到qq运行时删除qq键盘保护文件npkcrypt.sys。