“酷獅子”系列木馬的各個變種行為基本一直，有一個EXE文件，并且能釋放DLL文件。

　　“酷獅子”木馬樣本加載過程：

　　“酷獅子”木馬先把自己復(fù)制到Windows目錄，并釋放DLL到Windows目錄下。接下來檢查當(dāng)前運行的目錄是Windows，網(wǎng)游還是其他。當(dāng)前目錄是網(wǎng)游的情況，會先運行網(wǎng)游客戶端，然后運行剛才復(fù)制到Window目錄下的程序。當(dāng)前目錄是Windows的情況會加載DLL部分，然后處于等待狀態(tài)。DLL成功盜號后，盜號EXE結(jié)束執(zhí)行。

　　如果當(dāng)前目錄不在上述情況中，盜號木馬將會查找目標(biāo)網(wǎng)游的目錄，并執(zhí)行下面操作：

　　WOW：WOW.EXE改名為 W0W.EXE，將W0W.EXE設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號木馬改名為WOW.EXE。

　　熱血江湖：auncher.exe改名為launchar.exe，將launchar.exe設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號木馬改名為auncher.exe。

　　完美世界、武林外傳和誅仙用的相同客戶端：elementclient.exe改名為elemontclient.exe，將elemontclient.exe設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號木馬改名為elementclient.exe。

　　注：沒有任何文件保護功能，假如網(wǎng)游需要更新客戶端程序，該盜號木馬將被清除。

　　盜號部分：

　　在固定偏移讀取游戲關(guān)鍵內(nèi)存數(shù)據(jù)，通過破解內(nèi)存中的信息取得用戶信息。由于是固定偏移，游戲程序的版本改動都可能導(dǎo)致盜號失敗。

　　正如前述，該系列木馬是為個人“定做”的，用于接收盜號信息的網(wǎng)址都是不同的，但是參數(shù)是相同的。具體格式如下：

　　User= 用戶名&pass = 密碼& ser = 服務(wù)器名_網(wǎng)絡(luò)連接 &cangku =倉庫密碼

　　&beizhu = 備注&rw = 等級 &pcname = 計算機名

　　在誅仙盜號中發(fā)現(xiàn)的“cctvtvtvtvtD”(CCTV的粉絲?)

　　在完美世界盜號中發(fā)現(xiàn)的“真情告白”：

　　“ZHUZHUHENKEAI”

　　“ZHUZHUSHITOUZHU”

　　“WOLAOPOSHIDABENZHUHAHA”

　　在另外一個完美世界盜號中發(fā)現(xiàn)：

　　“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全體客戶”是指用戶?)