病毒大百科

这是一个针对《传奇》的盗号木马。它通过释放的驱动程序破坏反病毒软件的主动防御，关闭反病毒软件程序的进程。然后盗取游戏帐号和密码，并把盗取到的信息发送到指定的网站。

1、释放文件
%systemroot%\system32\msoscqit00.dll
%systemroot%\system32\drivers\msosfpids32.sys
这两个文件都被隐藏了。(通过挂接NtQueryDirectoryFile来实现文件的隐藏)

2、创建服务
在注册表里为驱动程序创建服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fpids32
其对应的可以执行文件为%systemroot%\system32\drivers\msosfpids32.sys
msosfpids32.sys的主要功能是恢复SSDT来破坏反病毒软件的主动防御和隐藏木马文件

3、盗号
%systemroot%\system32\msoscqit00.dll的主要功能就是盗取传奇的游戏帐号。
它还会关闭杀毒软件的进程，释放驱动程序并加载驱动程序。
%systemroot%\system32\msoscqit00.dll被注入到系统的所有进程中，
如果宿主进程是反病毒软件的进程，就将其关闭
如果是传奇游戏的进程，就读写该进程的内存数据，盗取游戏帐号，并将结果发送到指定网站。