2008年又是病毒疯狂的一年，病毒出现成翻番趋势，网游类木马更是上升到了一个可怕的地步，今天装备被盗，明天帐号不见，搞得网络中人心惶惶。网游玩家更是提心吊胆，深怕感染某种木马病毒程序，甚至不敢多开陌生网站，大有电脑专用，一门心思玩游戏的前景。

    病毒分析
    用户虽然要小心异异的进入网络，但木马病毒总是很不近人情，想方设法的感染电脑，这不最近笔者遇上了老马avp.exe hvsound2.dll作怪现象。所谓知已知彼方能百战不殆，只有全面了解病毒行凶过程，那才能将其从系统中赶出去。

    木马进驻
    此木马是典型的网络游戏类木马，专门盗取游戏帐号，玩家如果遭遇此马一不小心即会蒙受损失。当此马感染用户计算机后，首先将自身病毒体释放到系统目录%Windows%\下生成avp.exe文件，并在%System%\生成hvsound2.dll库文件，成功进入后病毒会利用自带的批处理文件delplme.bat删除自身，其批处理内容如下：
    @echo off
    :loop
    del "{原文件}"
    if exist "{原文件}" goto loop
    del delplme.bat

    进军注册表
    当木马完成上述自身隐藏步骤后，会在注册表分支[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown]，下建立新键值，显示名：Audio Adapter其可执行的文件路径为%Windows%\avp.exe，并修改Winsock LSP供应者为MSAFD Tcpip [TCP/IP] %System%\hvsound2.dll及 MSAFD Tcpip [RAW/IP] %System%\hvsound2.dll文件。

    小提示：Winsock LSP(Layered Service Provider)浏览器劫持，在网络中某些间谍软件会自行修改Winsock 2的设置进行浏览器劫，当网络产生流量时，信息都要通过所安装的间谍软件才能传到网络中，使的恶意用户能轻易获得所需敏感内容。