病毒大百科

这是一个盗号木马。它会删除系统上的安全漏洞修补文件，并破坏安全辅助软件“360安全卫士”的正常运行，然后盗取系统上的网络游戏《问道》的帐号信息，并下载其它木马程序。

病毒运行后释放以下病毒文件:
%Temp%\*dw.dll (* 号代表病毒源文件的文件名)

病毒运行后查找系统上有没有类名为"KVXP_Monitor"和"Q360SafeMonClass"的窗口,有则关闭之.

病毒查找系统上是否存在"VerClsid.exe"文件,有则删除. (%systemroot%\system32\VerClsid.exe)

释放病毒文件(%Temp%\*dw.dll)后,加载并调用其中的"wd_ksHook"和"wd_tzHook"这两个方法.

安装全局钩子,挂钩类型为: WH_GETMESSAGE

查找窗口类名"AVP.Tray"的窗口,有则设置系统时间为"2004"年.

结束两个360的进程,"360safe.exe"和"360tray.exe".

注入 explorer.exe 进程,盗取系统上的网络游戏《问道》的帐号信息并发送给木马种植者.

后台下载木马程序并运行.下载地址为: http:/ /www.c*t**6*6.comtx.exe

病毒创建以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}
HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61} @ "Microsoft"
HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32
HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32 @ "
"
HKEY_CLASSES_ROOT\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32 ThreadingModel "Apartment"

HKEY_CURRENT_USER\Software\ComCaraisn {009853BE-9758-4887-9755-C8761F5FDE61}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61} @ "Microsoft"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32 @ "
"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{009853BE-9758-4887-9755-C8761F5FDE61}\InProcServer32 ThreadingModel "Apartment"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {009853BE-9758-4887-9755-C8761F5FDE61}