病毒大百科

这是一个网游盗号木马。它能同时盗取《征途》、《彩虹岛》、《传奇世界》、《惊天动地》等网游，以及“浩方对战平台”和QQ聊天工具的帐号密码。

把C:\WINDOWS\upxdnd.exe注册到注册表启动项
SoftWare\Microsoft\Windows\CurrentVersion\RUN下的upxdnd键，
键值为"C:\WINDOWS\upxdnd.exe"

提取自身资源，删除原系统的upxdnd.dll 将刚才提取的资源释放一个到系统文件夹C:\WINDOWS\system32\upxdnd.dll。

遍历进程，找到explorer.exe 的进程PID

向explorer.exe写入一段恶意代码，CreateRemoteThread创建远程线程，该线程的作用是每隔一段时间LoadLibrary C:\WINDOWS\system32\upxdnd.dll

LoadLibrary加载C:\WINDOWS\system32\upxdnd.dll

加载成功后调用SetWindowsHookEx WH_CBT，
设置一个全局钩子，实现DLL向所有进程注入

病毒根据得到的路径可以得到加载了该DLL的进程名

1 当前进程如果是zhengtu.dat征途：读取内存得到用户信息，抛出异常，异常处理过程将创建socket向网络(IP地址：121.10.104.93)发送数据的线程。结束游戏线程，并不断向内存特定位置写数据破坏游戏正常运行。

2 当前进程如果是"LaTaleClient.EXE" 彩虹岛，创建一个处理线程，
该处理线程的作用，读取进程内存，找到用户信息的相关数据，解密出网址字符串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%,将从内存中读到的用户信息传到网上

3 当前进程如果是gameclient.exe 浩方堆栈平台，读取进程内存，找到内存中某个特定的位置，抛出异常，异常处理过程将创建socket向网络(IP地址：1*1.10.1*4.93)发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。

4 当前进程如果是"cabalmain.exe"（网游 惊天动地），LoadLibrary GetProcAddress得到SetUnhandledExceptionFilter.SetThreadContext函数地址，SetUnhandledExceptionFilter.注册一个回调函数，该回调函数的作用是，解密出一个URL字符串该字串
http://jt1.s****jj.com/cchh/lin.asp?ks=pig&a=%s&s=%s&u=%s&p=%s&sp=%s&r=%将用户信息以URL参数的形式发送到网上。

5 当前进程如果是WOOO 传奇世界，读取进程内存，找到内存中某个特定的位置，抛出异常，异常处理过程将创建socket向网络发送数据的线程。不断向内存特定位置写数据破坏游戏正常运行。

6 当前进程如果是 QQ.exe , 读取内存找到和用户信息相关的关键位置调用，SetUnhandledExceptionFilter注册一个回调函数，该回调函数创建一个 解密出IP地址字串，121.10.104.93 创建socket向网络发送数据的线程。

7 当前进程名如果是ElemntClient.exe，解密出字符串"ElemntClient.exe"," ZElementClient Window",FindWindowA找到游戏程序窗口，创建一个线程，该线程的作用是解密出IP地址字串，创建socket向网络发送数据的线程。