病毒大百科

这是一个盗号木马。木马通过创建系统服务实现开机启动，结束360安全卫士相关进程和“killer_Gdwli32.exe”专杀工具进程，然后盗取网络游戏《武林外传》的帐号信息，并发送给木马种植者。

病毒运行后释放以下病毒文件:
%systemroot%\system32\niluw.cfg
%systemroot%\system32\niluw.dll
%systemroot%\system32\drivers\msacpe.sys

判断系统是否有"ElementClient.exe"进程在运行,有则结束该进程.

删除系统上的"%systemroot%\system32\msepion.sys"文件.

获取环境变量"ComSpec"得到"cmd.exe"的全路径,调用"cmd.exe"执行自删除命令.

枚举系统进程,结束以下进程名:
360Tray.exe
360Safe.exe
killer_Gdwli32.exe

查找窗口标题名为"奇虎360安全卫士"的窗口和窗口类名为"Q360SafeMainClass"的窗口,有则获取其进程ID关闭.

判断病毒文件"%systemroot%\system32\niluw.dll"是否注入到"ElementClient.exe"进程,如是则进行盗号操作.

盗取系统上的网络游戏《武林外传》的帐号信息并发送给木马种植者.

病毒创建以下注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy Type dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy Start dword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy ErrorControl dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy ImagePath %systemroot%\system32\drivers\msacpe.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy DisplayName "mseqsy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy Description "mseqsy"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mseqsy\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSEQSY

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WL