這是一個(gè)針對(duì)網(wǎng)絡(luò)游戲《問道》的盜號(hào)木馬。該木馬首先會(huì)遍歷進(jìn)程列表查找是否有卡巴斯基的進(jìn)程，假如找到則修改系統(tǒng)時(shí)間為2003年，導(dǎo)致卡巴斯基失效。然后，該木馬會(huì)注入桌面進(jìn)程explorer.exe中，并展開全局監(jiān)視，假如發(fā)現(xiàn)游戲主程序便注入其中，盜取用戶的帳號(hào)信息。

1.查找avp.exe找到則修改系統(tǒng)時(shí)間為2003年

2.創(chuàng)建線程，查找如下窗口并關(guān)閉
#32770
AVP.AlertDialog
AVP.Product_Notification
AVP.TraffocMonconnectionTerm

3.將自身復(fù)制到C:\\WINDOWS\\system32\\kawdcaz.exe，更改屬性為系統(tǒng)隱藏
4.添加注冊(cè)表項(xiàng)實(shí)現(xiàn)開機(jī)自啟動(dòng)
HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kawdcaz@=%systemRoot%\system32\kawdcaz.exe

6.運(yùn)行kawdca.exe，讀取資源釋放文件C:\\WINDOWS\\system32\\kawdcaz.bat
7.將kawdcaz.bat注入explorer.exe中，并設(shè)置全局鉤子。假如檢測(cè)到游戲程序則注入其主程序中，讀取游戲內(nèi)存盜取其帳號(hào)等信息