病毒大百科

    这是一个盗号木马程序。病毒运行后会释放病毒文件至系统文件夹和临时文件夹，并生成大量启动项，以开机自启动。病毒注入进程，通过读写内存的方式盗取网络游戏梦幻西游用户信息，如服务器、帐号、密码、pin码、角色、装备等，发送至远程服务器，请广大用户注意保护好自己的游戏帐号。

1.生成文件
%temp%\LYLOADER.EXE
%temp%\LYMANGR.DLL
%temp%\MSDEG32.DLL
%sys32dir%\LYLOADER.EXE
%sys32dir%\LYMANGR.DLL
%sys32dir%\MSDEG32.DLL
使用批处理删除自身

2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDEG32 "LYLoader.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDWG32 "LYLoadbr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDCG32 "LYLeador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDOG32 "LYLoador.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDSG32 "LYLoadar.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDMG32 "LYLoadmr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDHG32 "LYLoadhr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run MSDQG32 "LYLoadqr.exe"

3.注入进程，通过读写内存的方式盗取网络游戏梦幻西游用户信息，发送至远程服务器
hxxp://www.zitianqq.cn/xiaozhu/mh19/post2007asp.asp
hxxp://zitianqq.cn/xiaozhu/mh19/post2007asp.asp
hxxp://5151la.com/mh2007/post2007kj.asp
hxxp://www.5151la.com/mh2007/post2007kj.asp
hxxp://www.raceswd.com/cs03/post.asp?server=%s&gameid=%s&pass=%s&pin=%s&wupin=%s&role=%s&equ=