【IT168 专稿】该样本是使用“VC”编写的盗号木马，采用“UPX”加壳方式，企图躲避特征码扫描，加壳后长度为“21,792 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页挂马”等方式传播，病毒主要目的为盗取网络游戏QQ华夏的帐号和密码等信息。

    用户中毒后，游戏无故关闭，输入帐号、密码时游戏运行缓慢的现象，最终将导致虚拟财产被黑客盗取。

    感染对象

    Windows 2000/Windows XP/Windows 2003

    传播途径

    网页木马、文件捆绑、下载器下载

    病毒分析

    （1）复制%SystemRoot%\system32\sfc_os.dll为%SystemRoot%\system32\munff1.dll，并加载，调用5#函数去掉comres.dll的文件保护
    （2）重命名%SystemRoot%\system32\comres.dll为syGTH.dll，释放病毒动态库%SystemRoot%\system32\comres.dll，%SystemRoot%\fOnTS\comres.dll和%SystemRoot%\fOnTS\GTH69459.dll
    （3）遍历进程，结束游戏进程QQhxgame.exe
    （4）释放病毒配置文件 %SystemRoot%\fOnTS\GTH69459.ini 
    （5）复制%SystemRoot%\system32\rundll32.exe为%SystemRoot%\system32\GTH69459.exe
    （6）创建进程，加载病毒动态库
    （7）设钩子，截获密码，发送到黑客指定网址
    （8）删除病毒自身 
　　
    病毒创建文件：
　　
    %SystemRoot%\system32\munff1.dll 
    %SystemRoot%\system32\syGTH.dll
    %SystemRoot%\fOnTS\comres.dll
    %SystemRoot%\fOnTS\GTH69459.dll
    %SystemRoot%\fOnTS\GTH69459.ini
    %SystemRoot%\system32\GTH69459.exe
　　
    病毒修改文件：
　　
    %SystemRoot%\system32\comres.dll