病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这一个针对“梦幻西游”的木马病毒，病毒体运行后会释放xydll.dll文件到系统目录下，然后调

用其中的函数，利用键盘和鼠标钩子获取游戏密码及其它相关信息，同时病毒体还利用自带的smtp

引擎将这些信息发送给木马种植者。

1. 释放一个大小为37376的动态链接文件xydll.dll到%system%目录下，然后将自身复制到

%Windir%\\inf目录下，命名为rundll32.exe，同时修改注册表，添加启动项，达到开机自

启的目的：

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

"loadMexy" = "%WinDir%\\inf\\rundll32.exe"

2. 病毒尝试关闭多种知名的杀毒软件与防火墙软件，包括：

RavMon.exe

天网防火墙个人版

天网防火墙企业版

噬菌体

ZoneAlarm

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

3. 为了盗取密码，病毒在注册表中寻找"密码防盗专家"的键值，并尝试关闭已经运行的"密码

防盗专家"。

4. 接着调用xydll.dll中的函数设置键盘与鼠标钩子，监控系统，寻找"梦幻西游"游戏窗口，随时

准备盗取游戏密码及其它相关信息，并将这些信息保存在c:\\gamexy.txt文件中。盗取信息包括：

服务器

户名

密码

物平密码

机器名

5. 利用自带的smtp引擎将这些信息通过E-Mail发送给木马种植者。