病毒大百科

这是个网游盗号木马变种。这个盗号木马会关闭用户电脑中的安全软件，并删除与系统安全模块中的相关文件，然后建立监视，记录用户的键盘和鼠标操作，以及用户向外发出的消息，从中获取看上去像网游帐号和密码的数据

在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\cdwqfs.dll
C:\WINDOWS\SYSTEM32\cdwqfs.dll.LoG

在磁盘中删除了以下文件:
C:\WINDOWS\SYSTEM32\Verclsid.exe
C:\WINDOWS\SYSTEM32\tf0

在注册表中创建了以下信息:
"HKCR\CLSID\{011DB9B9-44B4-44D9-B17E-BC7608F2E549}"
"HKCR\CLSID\{011DB9B9-44B4-44D9-B17E-BC7608F2E549}\InProcServer32"
"HKCR\.exe\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS"
"HKCU\Software\avs"

在注册表中设置了以下信息:
"HKCR\CLSID\{011DB9B9-44B4-44D9-B17E-BC7608F2E549}" "" "MICROSOFT"
"HKCR\CLSID\{011DB9B9-44B4-44D9-B17E-BC7608F2E549}\InProcServer32" "" "C:\WINDOWS\SYSTEM32\cdwqfs.dll"
"HKCR\CLSID\{011DB9B9-44B4-44D9-B17E-BC7608F2E549}\InProcServer32" "ThreadingModel" "Apartment"
"HKCR\.exe\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS" "" ""

会从以下注册表中读取信息:
"HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER"
"HKCU\avs"

病毒会连接作者指定的网址:
病毒会从 http://d**.tesekl.info/net.exe 下载文件至本地计算机 c:\net.exe
域名:"d**.tesekl.info" 端口:80 (TCP)
d**.tesekl.info/net.exe

在系统中创建了以下钩子:
消息钩子
鼠标钩子，会记录用户鼠标操作
键盘钩子，会记录用户键盘操作

在磁盘中创建以下配置文件:
C:\WINDOWS\SYSTEM32\cdwqfs.dll.LoG [dn] "lt" "c:\sample.exe"

在系统中创建了以下进程:
病毒会枚举系统进程，会对一些常见的安全进程进行关闭操作