本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
释放以下病毒文件: %systemroot%system32 tMYSMYS1053.exe %systemroot%system32 tMYSMYS1053.dll %systemroot%system32driversXNGAnti.sys

行为分析：
这是一个针对《魔域》的网游盗号木马。它自带得有一个驱动文件，用于解除一些具有所谓主动防御功能的杀毒软件的主防。当破坏了杀毒软件的正常运行后，病毒就会盗取游戏的帐号和密码。

描述：
释放以下病毒文件:

%systemroot%system32 tMYSMYS1053.exe

%systemroot%system32 tMYSMYS1053.dll

%systemroot%system32driversXNGAnti.sys

%systemroot%system32driversReloadAnti.sys



注: XNGAnti.sys 和 ReloadAnti.sys 两个驱动文件相同



枚举系统进程,结束 360TraY.exe 和 soul.exe 进程. (soul.exe 为网络游戏《魔域》的游戏进程)



创建系统服务加载驱动文件 XNGAnti.sys,通过发送控制码(22E14Bh)请求驱动执行指定操作.



创建批处理文件删除自身.



驱动文件的作用是根据程序传入的数据替换SSDT表的系统服务函数地址.(恢复被hook掉的函数)



盗取系统上的网络游戏《魔域》的帐号信息并发送至指定的接收网址.



病毒创建以下注册表项:

HKEY_CLASSES_ROOTCLSID{9947e423-193f-4fc4-b38d-e76fdd799150}

HKEY_CLASSES_ROOTCLSID{9947e423-193f-4fc4-b38d-e76fdd799150}InprocServer32

HKEY_CLASSES_ROOTCLSID{9947e423-193f-4fc4-b38d-e76fdd799150}InprocServer32 @ "%systemroot%system32 tMYSMYS1053.dll"



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks {9947e423-193f-4fc4-b38d-e76fdd799150} "ttMYSMYS1053.dll"