本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
运行后释放的病毒文件: %sys32dir%mttwfh.dll（由于是木马群所以文件名有好多） 病毒文件 mttwfh.dll 注入 explorer.exe ctfmon.exe等进程.

行为分析：
这是一个盗号木马。《武林外传》、《梦幻西游》、《华夏2》、《完美世界》《风云》《魔域》等游戏的帐号信息。病毒会不断重写自身的注册表启动项，防止被查杀。

描述：
运行后释放的病毒文件:

%sys32dir%mttwfh.dll（由于是木马群所以文件名有好多）



病毒文件 mttwfh.dll 注入 explorer.exe ctfmon.exe等进程.



病毒不断重写注册表启动项,以防自身的启动项被删除,防止病毒在重启后不运行.



搜索当前是否有游戏窗口，若有，注入该进程中，获取用户账号密码信息。



病毒创建注册表:

HKLMSOFTWAREClassesCLSID{021F087F-4378-545F-74FA-37D345AD7A8C}InProcServer32: "C:WINDOWSsystem32mttwfh.dll"

HKLMSOFTWAREClassesCLSID{021F087F-4378-545F-74FA-37D345AD7A8C}InProcServer32ThreadingModel: "Apartment"

HKLMSOFTWAREClassesCLSID{021F087F-4378-545F-74FA-37D345AD7A8C}: "MICROSOFT"

HKLMSOFTWAREClassesSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERSHELLEXECUTEHOOKS: ""



病毒通过注册表创建自启动:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{021F087F-4378-545F-74FA-37D345AD7A8C}: ""



成功盗取网络游戏的帐号信息后,将盗取所得的信息发送到以下地址:

http://mx.uxxxxxxs.cn/baby3_t34s/post.asp?act=&d00=&d01=&d02=&d10=&d11=&d20=&d21=&d2