這是一個(gè)盜取夢(mèng)幻西游帳號(hào)信息的木馬病毒。該病毒首先會(huì)嘗試關(guān)閉一些常用病毒防火墻和一些反木馬程序，如金山網(wǎng)鏢、瑞星防火墻、天網(wǎng)防火墻、木馬克星等。然后就掛鉤系統(tǒng)的鼠標(biāo)和鍵盤消息，截取用戶的夢(mèng)幻西游帳號(hào)信息，并將這些帳號(hào)信息發(fā)送到木馬種植者預(yù)定的郵箱。

1.創(chuàng)建信號(hào)量SemaphorexyMuMa防止多個(gè)實(shí)例同時(shí)運(yùn)行。

2.將自己復(fù)制為%SystemRoot%\inf\rundll32.exe，釋放文件%System32%\xydll.dll（117248字節(jié)）

3.在注冊(cè)表中添加
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"loadMexy"="%SystemRoot%\inf\rundll32.exe"

4.查找窗口名和窗口類為：
RavMon.exe
RavMonClass

天網(wǎng)防火墻個(gè)人版
Tapplication

天網(wǎng)防火墻企業(yè)版
TForm1

噬菌體
TfLockDownMain

ZoneAlarm
ZAFrameWnd
的窗口并關(guān)閉它們。

終止進(jìn)程：
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE

5.通過查找窗口“WSGAME”和“夢(mèng)幻西游ONLINE”截取用戶的夢(mèng)幻西游帳號(hào)信息保存在：
c:\gamexy.txt
c:\gamect2.txt