Trojan/PSW.VShell.a

影響平台：Win 9x/2000/XP/NT/Me/2003

該病毒運行後，在系統目錄下創建：kv2005.dll 病毒主功能模組和kvshell2005.dll 病毒啟動模組，並利用regsvr32.exe註冊kvshell2005.dll為BHO外掛程式，這樣kvshell2005.dll在Windows系統啟動時會被自動載入，它負責調用病毒主要功能模組kv2005.dll。kv2005.dll被載入後，建立互斥體“KvShell_2018”，設定視窗鉤子函式。如果系統時間晚於2005年8月1日，病毒會查找包括IE在內的多種瀏覽器，一旦發現用戶正在工行個人網上銀行的登錄界面，則開始記錄用戶的鍵盤輸入。如果卡號長度為19個字元，並以“95588”開頭時，病毒就將會記錄下的卡號、密碼和驗證數字等信息加密後提交給http://bbs.******.com/，並且會試圖結束多種國內防毒軟體的進程。病毒通過檢測調試器、重寫SetWindowsHookEx API函式等方法對自身進行保護。