Win32.Troj.vaklik.397312 手动专杀及 病毒资料

这是一个可盗取多个网络游戏帐号的木马下载器。它具备一定的对抗能力，会查找并关闭一些主流安全软件的进程。病毒注入系统进程，搜索电脑中已安装的网络游戏，然后下载相应的的盗号木马执行盗号。

1.病毒运行后枚举当前系统内进程，当发现指定安全工具进程和游戏进程时利用TerminateProcess结束这些进程，但目前杀毒软件自保护功能多能抵挡这种攻击。

2.创建线程监视系统窗口，发现杀毒软件提示病毒窗口时，通过发送关闭消息和模拟鼠标点击来使杀软放行。

3.释放文件%windows%\Fonts\codoor0.dll,文件创建时间设置的和系统文件explorer.exe一致，以隐藏自身。

4.在注册表添加如下项：HKEY_CLASSES_ROOT\CLSID\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},在其下添加几个路径键值。

5.载入%windows%\Fonts\codoor0.dll，该DLL载入后查询病毒在注册表所添加的相应项，获取文件路径等信息。

6.该DLL在explorer.exe创建远程线程，按上一步查询所获取路径删除病毒原文件，监视系统内游戏进程，记录到%system32%\game.ini，并根据相应游戏进程选择下载相应盗号木马。如发现传奇游戏进程则到地址http://*9.vc/h**q.jpg读取下载列表。

7.创建注册表项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F6BBDC08-97D4-750B-4624-E9866DAD3B56},实现随系统启动。