病毒大百科

这是一个盗号木马程序。该程序会创建多款网络游戏的虚假服务器，骗取用户登陆，从而盗取用户的帐号相关信息。

1.程序运行后，生成文件
%WINDOWS%\Web\printers\images\rinter.dll
%WINDOWS%\Web\printers\images\rinter.exe

2.在注册表中添加了注册项，如下：
HKEY_CLASSES_ROOT\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32
启动项名:@ 对应路径:"C:\WINDOWS\Web\printers\images\rinter.dll"
HKEY_CLASSES_ROOT\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32
启动项名:ThreadingModel 对应值:"Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32
启动项名:@ 对应路径:"C:\WINDOWS\Web\printers\images\rinter.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7152C68A-D93C-49BF-AFEF-6B4576849A7E}\InProcServer32
启动项名:ThreadingModel 对应值:"Apartment"

3.木马会打开互斥量"FMPExeTrExt "，寻找全局原子变量"oleoleoleole"，用来判断是否已经有木马在运行；若没有则会创建文件，

调用rinter.dll中的函数"JumpHookOn"开始工作。

4.木马会自己创建多种虚假网游服务器game:RAN.Tw，game:WOW.Tw，game:TianTang.Tw，game:FZG.Tw，game:HY.Tw，骗取用户登陆，

从而盗取用户的帐号相关信息。