本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.程序运行后，生成病毒所需文件 %Temp%D3D9_32.DLL %Temp%D3D9_64.DLL %Temp%DXDLG.EXE %system32%D3D9_32.DLL %system32%D3D9_32.DLL

行为分析：
这是一个盗号木马程序。该程序会盗取网络游戏《梦幻西游》的帐号信息，并下载其它病毒至受害电脑上运行。

描述：
1.程序运行后，生成病毒所需文件

%Temp%D3D9_32.DLL

%Temp%D3D9_64.DLL

%Temp%DXDLG.EXE

%system32%D3D9_32.DLL

%system32%D3D9_32.DLL

%system32%DXDLG.EXE

%system32%REGKEY.hiv



2.创建批处理程序，将自己的源文件删除，避免被用户发现



3.在注册表中添加了注册项，设为自启动，如下：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun DXDLG32 "DXDLG.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDWG32 "LYLoadbr.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDCG32 "LYLeador.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDOG32 "LYLoador.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDSG32 "LYLoadar.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDMG32 "LYLoadmr.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDHG32 "LYLoadhr.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun MSDQG32 "LYLoadqr.exe"



4.将生成的LYL文件注入系统进程services.exe中，并加载MSDEG32.DLL和mhsha1.dat，搜索梦幻西游的进程“MY.EXE”。



同时利用MSDEG32.DLL文件来枚举窗口名，查找是否有名字为“梦幻西游”的游戏窗口。一旦发现目标，病毒就会通过



内存读写的方式窃取玩家的帐号信息，并将其发送到http://www.r****wd.com/c**/、http://www.5****1.com等木马



作者指定的多个远程服务器。



5.另外，该病毒还会从远程服务器下载其他病毒文件安装至本地计算机。