service.exe,Win32.Hack.Small.106496传奇私服木马查杀

Win32.Hack.Small.106496是一个黑客木马程序。它表面上是个《传奇》游戏的私服插件，能自动练级，但却会在后台悄悄下载病毒木马。

病毒经过加壳处理

运行后释放复制自身到下列目录:
%sys32dir%\service.exe
添加注册表
1 = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TRACKINGSS
2 = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrackingSS
3 = HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vxd\TrackingSS
创建系统服务启动:
Key: "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrackingSS"
ImagePath: "C:\WINNT\System32\service.exe"
DisplayName: "Distributed Link Tracking Client Service"
ObjectName: "LocalSystem"

病毒运行后连接"802.d***f.com"，这是另外一个传奇私服网站，从这个地址获取参数和命令行，
如果参数为"M2:"的话，病毒会打开一个记事本程序，然后注入记事本，内容为登录"Mir182"这个私服，设置多段的sleep，每隔一段时间，就会刷屏骂人，内容为国骂，见人骂人，见佛骂佛；创建线程登录mir182私服，自动整理身上的装备，外挂练级。
如果参数是"DOWNLOAD:"的话，则会从获取的地址下载其他病毒到系统目录下执行。
如果参数是"REMOVE:"的话，病毒会删除TrackingSS服务，删除自身