本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.生成文件. %sys32dir%hhrdxd.dll 2.修改注册表生成启动项 HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}

行为分析：
该病毒是网络游戏《华夏Ⅱonline》的盗号木马。病毒运行后会修改注册表生成启动项，盗取游戏账号信息，并通过网页提交的方式发送到木马种植者手上。

描述：
1.生成文件.

%sys32dir%hhrdxd.dll



2.修改注册表生成启动项

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} @ "MICROSOFT"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}InProcServer32

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}InProcServer32 @ "C:WINDOWSsystem32hhrdxd.dll"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}InProcServer32 ThreadingModel "Apartment"



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} ""



3.还会生成其他的注册表键

HKEY_LOCAL_MACHINESOFTWAREClassesSOFTWARE

HKEY_CLASSES_ROOTSoftwareMicrosoftWINDOWS

HKEY_CURRENT_USERavs



4.病毒运行后会把dll文件注入到进程当中.



5.病毒运行后会删除病毒源文件.



6.病毒会把盗取得到的账号和密码通过网页提交的方式发送到以下网络地址:

http://www.*****99.cn/fuckmanhx/post.asp