本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.首先开启一个线程，不停的查找窗口标题为”AVP.Product_Notification”，”AVP.AlertDialog”和”瑞星注册表监控提示”的窗口，发现后发送窗口消息，WM_LBUTTO

行为分析：
这是一个网游盗号木马病毒。会盗取《魔兽世界》、《惊天动地》《新破天一剑》的账号信息。病毒运行后会关闭卡巴斯基、瑞星等杀毒软件。

描述：
1.首先开启一个线程，不停的查找窗口标题为”AVP.Product_Notification”，”AVP.AlertDialog”和”瑞星注册表监控提示”的窗口，发现后发送窗口消息，WM_LBUTTONDOWN，WM_LBUTTONUP，WM_CLOSE消息关闭杀软报警窗口。



2.拷贝自身到C:windowsmppds.exe，如果拷贝不成功则随机生成一个文件名重新拷贝。



3.设置注册表自启动，HKLMSoftwareMicrosoftWindowsCurrentVersionRun

mppds=C:Windowsmppds.exe。



4.查找资源类型DLL，将资源数据写入文件C:WindowsSystem32mppds.dll。如果写入文件不成功则随机生成一个新的文件名写入。



5.查找explorer.exe的进程ID，注入代码到explorer.exe，传入一个参数为一些API的地址和一些字符串。注入的代码主要完成如下工作：

(1).加载C:WindowsSystem32mppds.dll并调用偏移30h和34h的函数，这两个函数主要是设置全局钩子和释放全局钩子，钩子函数什么也不做，直接CallNextHookEx，目的仅仅是把自己加载到系统的其他的进程空间中。

(2).注入代码删除原文件，通过不停的删除和一个事件对象来判断文件是否已解锁实现删除操作。如果注入代码不成功，则自己加载C:WindowsSystem32mppds.dll并调用偏移30h和34h的函数，实现安装全局钩子，注入DLL到其他进程空间中。



6.病毒释放文件C:Windowsmppds.exe执行流程基本和上述一样，所不同的是病毒通过路径判断出自己是第二次执行时就不会执行删除原文件的操作了。



7.病毒注入DLL，C:WindowsSystem32mppds.dll，在DLL_PROCESS_ATTACH加载后保存两个函数地址到偏移30h和34h处，供前面的原始文件调用，用来安装全局钩子的。



8.获取当前进程文件名，判断是否是wow.exe(魔兽世界)，cabalmain.exe(惊天动地)，china_login.mpr(新破天一剑)等文件名从而做相应的处理，如搜索内存中断数据，读写内存数据，获得游戏的账号密码，最后通过InternetRead发送到如下的网站：

http://www.dj***0.com/jtdd333/

构造如下的URL：http://www.dj***0.com/jtdd333/shuo333.asp?a=%d

&s=%s&u=%s&r=%s&l=%d&m=%d&p=%s



9. DLL_PROCESS_DETACH则调用TerminateThread终止当前线程。