病毒症狀
該樣本是使用「VC」編寫的盜號木馬，採用「UPX」加殼方式，企圖躲避特徵碼掃瞄，加殼後長度為「22,122 字節」，病毒擴展名為「exe」，主要通過「文件捆綁」、「下載器下載」、「網頁掛馬」等方式傳播，病毒主要目的為盜取遊戲帳號密碼信息。　　
用戶中毒後，會出現遊戲無故關閉，輸入用戶名密碼時，電腦運行速度緩慢，Windows軟件無故報錯等現象。
感染對像
Windows 2000/Windows XP/Windows 2003
傳播途徑
網頁木馬、文件捆綁、下載器下載


病毒分析
（1）生成病毒配置文件和動態庫文件
（2）加載病毒動態庫文件，設置鉤子
（3）遍歷進程，關閉遊戲進程
（4）查找VErCLSiD.exe文件，如果找到，刪除VErCLSiD.exe文件
（5）修改註冊表，實現自啟動等功能
（6）使用DOS命令刪除自身
（7）截獲密碼信息，並發送到指定網址　　　　　　
病毒創建文件：
　　
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll　　　　
病毒刪除文件：　　　
%SystemRoot%\system32\VErCLSiD.exe　　　　
病毒創建註冊表：　　　
HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\{19250D1E-B733-4F49-BC56-44EFCF3BF650}　　



解決方案：
1、使用相同版本文件修復%SystemRoot%\system32\VErCLSiD.exe
2、手動刪除以下文件：
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll　　
3、手動刪除以下註冊表值：　　
鍵：HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
鍵：HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\　　
值：{19250D1E-B733-4F49-BC56-44EFCF3BF650}　　
數據：null　　
變量聲明：　　
%SystemDriver%　　　　　　　系統所在分區，通常為「C:\」　　
%SystemRoot%　　　　　　　　WINDODWS所在目錄，通常為「C:\Windows」　　
%Documents and Settings%　　用戶文檔目錄，通常為「C:\Documents and Settings」　　
%Temp%　　　　　　　　　　　臨時文件夾，通常為「C:\Documents and Settings\當前用戶名稱\Local Settings\Temp」　　
%ProgramFiles%　　　　　　　系統程序默認安裝目錄，通常為：「C:\ProgramFiles」