這是一個(gè)盜號(hào)木馬，它能夠盜取多個(gè)網(wǎng)絡(luò)游戲的帳號(hào)信息，停止系統(tǒng)上某些指定的安全服務(wù)。此外，病毒還可通過(guò)查找窗口的方式關(guān)閉卡巴斯基的警告窗口。

運(yùn)行后釋放以下病毒文件:
%systemroot%\MsIMMs32.exe
%systemroot%\system32\MsIMMs32.dll

創(chuàng)建注冊(cè)表啟動(dòng)項(xiàng):
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value:"MsIMMs32"
Data:"%systemroot%\MsIMMs32.exe"

運(yùn)行后,病毒文件MsIMMs32.dll注入系統(tǒng)的explorer.exe進(jìn)程.

停止系統(tǒng)上的以下服務(wù):
KWatchSvc
KPfwSvc
McShield
DefWatch
kvsrvxp
McAfeeFramework
McTaskManager
NortonAntiVirusServer

查找"AVP.AlertDialog"窗口,如發(fā)現(xiàn)則發(fā)送關(guān)閉消息關(guān)閉此窗口.

病毒文件MsIMMs32.dll安裝全局鉤子,掛鉤類型為:WH_GETMESSAGE

判定MsIMMs32.dll是否注入到以下進(jìn)程:
gameclient.exe
LaTaleClient.exe
asktao.mod
cabalmain.exe

盜取系統(tǒng)上的《浩方對(duì)戰(zhàn)平臺(tái)》、網(wǎng)絡(luò)游戲《彩虹島》、《問(wèn)道》、《驚天動(dòng)地》的帳號(hào)信息并發(fā)送至木馬種植者指定的接收網(wǎng)址.

盜取所得的信息按以下格式發(fā)送至木馬種植者指定的網(wǎng)址:
http://www.3**678.cn/xxqq/wd/lin.asp?lk=##&a=##&s=##&u=##&p=##&sp=##&r=##&l=##&m=##&gc=##&sc=##

http://j*1.so****j.com/cchh/lin.asp?ks=sba5&a=##&s=##&u=##&p=##&sp=##&r=##