这是一个盗号木马。病毒运行后，将自身复制至SendTo文件夹，并释放病毒文件，并通过修改注册表达到自启动。该病毒会盗取网络游戏天堂的用户信息，包括帐号、密码等。

1.生成文件
%profile%@\SendTo\Winfzgd.EXE
%profile%@\SendTo\Winfzgd.hlp

2.生成注册表项
HKEY_CURRENT_USER\Software\Nexon\Kingdom of the Winds DialogPos13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run BianFeng "%profile%\SendTo\Winfzgd.EXE"

3.通过注入进程的方式盗取网络游戏天堂用户信息，然后发送至以下网址：
hxxp://www.gamexxxx.com/fzgd/updata.asp?fwq=%s&user=%s&password=%s&ckpass=%s

该病毒运行后复制自身至系统文件夹，然后创建批处理删除自身，并通过伪装winamp播放器进程运行。病毒打开用户计算机后门，允许远程攻击者控制用户计算机，包括收集、下载、盗取用户信息，对用户的电脑系统及个人网络财产的安全构成严重威胁。同时该病毒会生成一个局域网IP地址，并利用系统漏洞及自身的密码字典，尝试破解弱密码，来进行恶意攻击和传播。

另外，该病毒还具有盗取网络游戏”魔兽世界“和”Unreal3“等CD-Keys的功能。

1.复制自身至
%sys32dir%\winamp.exe
然后用批处理删除自身

2.启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Winamp Agent "%sys32dir%\winamp.exe"

3.盗取以下软件用户信息（帐号、密码、CD-Keys）：
FlashFXP
internet explorer
OutlookExpress
MSN Explorer
UnrealIRCD
Steam
World Of Warcraft
Conquer Online

4.复制自身至 IPC$ 共享：
IPC$
print$
C$\Documents and Settings\All Users\Documents\$
admin$
Admin$\system32
c$\windows\system32
c$\winnt\system32
c$\windows
c$\winnt
e$\shared
d$\shared
c$\shared
并利用弱密码攻击以获取权限

5.打开系统后门，允许远程攻击者控制用户计算机，包括：
收集系统信息
扫描局域网机器并传播
下载和运行指定程序
运行http/ftp服务
升级病毒文件
盗取软件密码

6.尝试利用以下漏洞，及自身的弱密码攻击网络共享和SQL服务器：
SMB(MS03-024)
SRVSVC(MS06-040)
RPC-DOM(MS06-012)

这是一个网络游戏盗号木马变种。病毒运行后会复制自身至系统文件夹，注入桌面进程，查找查找《浩方游戏平台》、《剑侠情缘2》、《热血江湖》、《完美世界》等网络游戏的进程，如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息，然后将盗取信息发送至远程服务器。

1.生成文件
%windir%\cmdbcs.exe
%sys32dir%\cmdbcs.dll

2.生成注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run cmdbcs "%windir%\cmdbcs.exe"

3.注入桌面进程，查找浩方游戏平台“gameclient.exe”、剑侠情缘2“SO2Game.exe”、热血江湖“client.exe”等游戏进程
是否存在，如果存在则通过读写内存的方式盗取用户游戏帐号、密码、所在服务器等信息

4.查找网络游戏完美世界“ElementClient Window”、“ZElementClient Window”窗口是否存在，如果存在则通过读写
内存的方式盗取用户游戏帐号、密码、所在服务器等信息

5.将盗取的网络游戏帐号、密码、所在服务器等信息发送至以下网址
hxxp://j**.s****jj.com/cchh/lin.asp?s=%s&u=%s&p=%s&r=%s&l=%d&il=%s&sl=%s
hxxp://j**.s****jj.com/cchh/lin.asp?a=%s&s=%s&u=%s&p=%s&ks=sbe0&sp=%s&r=%s

这是一个盗号木马。病毒运行后，释放病毒文件至"NetMeeting"文件夹，修改注册表启动项。病毒通过注入桌面进程，监控网络游戏魔域窗口，并盗取用户帐号、密码、密保等信息，发送给远程盗号者，损害用户利益。

1.复制自身至
%programfiles%\NetMeeting\ravmymon.exe
然后释放文件
%programfiles%\NetMeeting\ravmymon.cfg
%programfiles%\NetMeeting\ravmymon.dat
最后使用批处理删除自身

2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ravmymon "%programfiles%\NetMeeting\ravmymon.exe"

3.注入桌面进程，监控网络游戏魔域窗口，盗取用户帐号、密码、密保等信息，并发送至远程服务器
hxxp://www.abcdf.cn/my7570/lin.asp?a=%s&s=%s&u=%s&p=%s&pin=%s&r=%s&l=%d&m=%d&mb=%s

这是一个下载者病毒,病毒会把客户计算机里的安全软件警告都关闭掉,使客户计算机里的安全软件失去作用.病毒在客户计算机上的每个盘下生成 AutoRun.inf 和 Dser.exe 文件.病毒会读取木马种植者指定的其它木马下载地址并下载保存到客户计算机上运行.

病毒成功在客户计算机上运行后把自身复制到客户计算机的 %SystemRoot%\system32\ 文件夹下.

病毒会注册表服务项以达到开机自启动的作用.

病毒通过查找窗口的方法关闭安全软件的警告窗口,如发现客户计算机上安装了指定的杀软,会修改系统时间导致杀软失效.

病毒生成的文件:
%SystemRoot%\system32\Dser.exe

病毒添加的注册表项:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"

病毒会从以下指定的木马下载地址下载木马程序至客户计算机:
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe

这是一个盗号木马.盗取网络游戏《征途》《惊天动地》《武林外传》帐号与密码等相关信息。

1、病毒生成的文件:
%Temp%\upxdnd.exe
%Temp%\upxdnd.dll

2、病毒添加的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
upxdnd = "C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe"

3、发送的指定接收地址
http://22**6.cn/zz**23/lin.asp?srv=&id=&p=&s=&ss=&js=&gj=&dj=0&yz=0

4、病毒运行之后会删除自身

6、关闭杀毒软件警告窗口
AVP.AlertDialog
AVP.Product_Notification
瑞星注册表监控提示

该病毒是一个木马下载者，病毒运行后会衍生病毒文件至系统目录下，并修改注册表增加启动项，还会创建一个伪系统进程，通过网络下载其他的木马文件至本机并执行。

1.添加文件
C:\Program Files\Internet Explorer\svchost.exe

2.修改注册表增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run svchost.exe "C:\Program Files\Internet Explorer\svchost.exe"

3.创建伪系统进程svchost.exe.

4.该病毒会从以下的地址当中下载其他的木马文件:
http://www.*****gf.com/0.exe
http://www.*****gf.com/3.exe
http://www.*****gf.com/5.exe
http://www.*****gf.com/7.exe
http://www.*****gf.com/9.exe

病毒把本身复制到 %SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的 svchost.exe。创建系统服务使病毒自身能达到开机自动运行。

结束以下进程:
KASMain.exe
kpfwsvc.exek

添加文件:
%SystemRoot%\system32\dllcache\svchost.exe
%SystemRoot%\system32\dllcache\1028\svchost.exe
%SystemDrive%\auto.exe

添加注册表:
键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost
键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost

这是一个用VB编写的木马程序变种。病毒伪装成安全辅助软件“360安全卫士”的相关文件，骗取用户点击。它成功运行后，会修改IE浏览器的默认首页、增加IE浏览器扩展按钮，还会将用户的网卡物理地址、计算机名称等信息发送至远程服务器。

(1)运行后释放文件
%sys32dir%\360Safe.exe
%sys32dir%\360Server.exe
%sys32dir%\AllRight.exe
%sys32dir%\MSINET.OCX（VB控件）
%sys32dir%\NTVBSvcW.tlb（类型库文件）
%sys32dir%\SoftIcon.ico（图标文件）

(2)运行后添加注册表项
(3)运行后修改注册表项，锁定主页为www.007788.com
(4)病毒运行后尝试修改IE浏览器首页，并尝试弹出新IE窗口打开这个网址
(5)病毒尝试为IE浏览器增加一个扩展功能按钮：访问007788
(6)病毒尝试增加一个系统服务，描述如下：
服务名：360safe
显示名称：360Safe Server
描述：360Safe Server
映像路径：%sys32dir%\360Server.exe
启动类型：自动

(7)病毒运行后以下两个进程会被创建并运行：
360Safe.exe
360Server.exe
其中360Safe.exe进程在后台监控并还原首页地址

(8)病毒文件伪装成360安全卫士，诱惑用户点击，文件属性信息如下：
文件版本：1.0.0.0
产品版本：1.00
产品名称：360Safe
公司名称：奇虎网
内部名称：4
语言：中文(中国)
源文件名：4.exe

(9)病毒尝试统计中毒者机器信息，如网卡物理地址、计算机名等，然后发送至远程服务器
hxxp://www.0**7*8.com/tongji.php?mac=000000000000COMPUTERNAME&p=AE8795FFF80D&id=3

这是一个下木马载者。该病毒运行后，会立即从网络上下载病毒配置文件，并根据该文件下载更多其它木马病毒。在它下载下来的木马中，有不少是广告木马和盗号木马。

1、释放文件
C:\WINDOWS\system32\MSSCKETS.DLL
C:\WINDOWS\system32\MSWSOCK2.DLL
C:\Documents and Settings\Administrator\Local Settings\Temp\1F.tmp_TMP.dll

下载病毒配置文件
http://i**pen.y**ames.com/ie**wn/jdupdate.txt
该配置文件控制着该木马是否下载病毒，是否弹出广告，是否修改用户主页等等动作，以及存放着病毒URL，广告URL，要修改的主页URL。

2、修改注册表,添加BHO启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EB383C6E-9912-4850-BCE5-A5A8779D321A}
{EB383C6E-9912-4850-BCE5-A5A8779D321A}指向的文件为c:\windows\system32\mssckets.dll

3、当浏览器启动时c:\windows\system32\mssckets.dll的代码会被执行。病毒开始发作。