本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.生成文件 C:Program FilesInternet ExplorerPLUGINSSysWin64.Jmp C:Program FilesInternet ExplorerPLUGINSWinSys64.Sys

行为分析：
该病毒是一个盗号木马。它可盗取QQ号和网络游戏《完美世界》的账号，并记录下用户的真实IP地址。

描述：
1.生成文件

C:Program FilesInternet ExplorerPLUGINSSysWin64.Jmp

C:Program FilesInternet ExplorerPLUGINSWinSys64.Sys



2.如果病毒运行发现WinSys64.sys已经存在则生成WinSys64.tao文件.



3.生成CLSID组件

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{40117B96-998D-4D80-8F89-5E9DBD9F3460}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{40117B96-998D-4D80-8F89-5E9DBD9F3460} Default = ""

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{40117B96-998D-4D80-8F89-5E9DBD9F3460InProcServer32

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{40117B96-998D-4D80-8F89-5E9DBD9F3460}InProcServer32

Default = "C:Program FilesInternet ExplorerPLUGINSWinSys64.Sys"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{40117B96-998D-4D80-8F89-5E9DBD9F3460}InProcServer32

ThreadingModel = "Apartment"



4.生成注册表启动项:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{40117B96-998D-4D80-8F89-5E9DBD9F3460}



5.生成其他注册表项:

HKEY_CURRENT_USERSoftwareTencents

HKEY_CURRENT_USERSoftwareTencentGm



6.病毒会登录以下网络地址获得计算机的IP地址.

http:\flash.chinaren.com/ip/ip.php



7.病毒会把截获的账号资料通过网页提交的方式发送到以下地址

http:\www.****.com//wuxu/wu/45.asp

htpp:\www.****.com//wuxu/wu/up564.asp



8.病毒运行后可能会打开以下网站:

http:\www.***.cn