病毒症状
该样本是使用「VC」编写的盗号木马，采用「UPX」加壳方式，企图躲避特征码扫瞄，加壳后长度为「22,122 字节」，病毒扩展名为「exe」，主要通过「文件捆绑」、「下载器下载」、「网页挂马」等方式传播，病毒主要目的为盗取游戏帐号密码信息。　　
用户中毒后，会出现游戏无故关闭，输入用户名密码时，电脑运行速度缓慢，Windows软件无故报错等现象。
感染对像
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、下载器下载


病毒分析
（1）生成病毒配置文件和动态库文件
（2）加载病毒动态库文件，设置钩子
（3）遍历进程，关闭游戏进程
（4）查找VErCLSiD.exe文件，如果找到，删除VErCLSiD.exe文件
（5）修改注册表，实现自启动等功能
（6）使用DOS命令删除自身
（7）截获密码信息，并发送到指定网址　　　　　　
病毒创建文件：
　　
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll　　　　
病毒删除文件：　　　
%SystemRoot%\system32\VErCLSiD.exe　　　　
病毒创建注册表：　　　
HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\{19250D1E-B733-4F49-BC56-44EFCF3BF650}　　



解决方案：
1、使用相同版本文件修复%SystemRoot%\system32\VErCLSiD.exe
2、手动删除以下文件：
%SystemRoot%\fOnts\fKzf9wP6bhq6Bcxa.Ttf
%SystemRoot%\system32\m37tEtTX7Ye5c.dll　　
3、手动删除以下注册表值：　　
键：HKEY_CLASSES_ROOT\CLsID\{19250D1E-B733-4F49-BC56-44EFCF3BF650}
键：HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\Explorer\shellexecutehooks\　　
值：{19250D1E-B733-4F49-BC56-44EFCF3BF650}　　
数据：null　　
变量声明：　　
%SystemDriver%　　　　　　　系统所在分区，通常为「C:\」　　
%SystemRoot%　　　　　　　　WINDODWS所在目录，通常为「C:\Windows」　　
%Documents and Settings%　　用户文档目录，通常为「C:\Documents and Settings」　　
%Temp%　　　　　　　　　　　临时文件夹，通常为「C:\Documents and Settings\当前用户名称\Local Settings\Temp」　　
%ProgramFiles%　　　　　　　系统程序默认安装目录，通常为：「C:\ProgramFiles」