类型： REG_SZ

　　字符串："C:WINDOWSsystem32wrqszl.dll"

　　描述:注册CLSID值

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{F99DEFDD-200B-4410-B572-E90883D527D2}]

　　注册表值：""

　　类型： REG_SZ

　　值：""

　　描述: 将病毒文件的ID号添加到HOOK项中，使explorer.exe进程自动加载病毒文件

　　3、病毒运行后查找%System32%目录下的Verclsid.exe，找到将其删除

　　4、遍历进程搜索“AVP.exe”，如找到则释放winsYs.reg文件，用来添加病毒HOOK启动项如找不到“AVP.exe”进程，释放tf0文件到%System32%目录下，调用API对注册表添加病毒HOOK项，等待添加病毒HOOK项完毕后将tf0文件删除，winsYs.reg文件内容为：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONEXPLORERSHELLEXECUTEHOOKS]

　　"{F99DEFDD-200B-4410-B572-E90883D527D2}"=""

　　5、调用LoadLibraryA将病毒DLL加载到进程，试图将病毒DLL文件注入到smss.exe、csrss.exe、winlogon.exe除外的所有进程，通过截获当前用户的键盘和鼠标消息以获取游戏的账号及密码

　　行为分析-网络行为：

　　以URL方式发送到指定的地址中，回传格式为：

　　x5yaonwom4ktn0(加密地址) &str=

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录

　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录

　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录