patch.exe的病毒行为

这是一个盗号木马程序。该程序首先会寻找含有“游戏”的窗口，然后建立消息监视程序，截获用户与网游服务器之间的网络数据包，从而盗取用户的帐号相关信息。

1.程序运行后，生成文件

%WINDOWS%\System32\xsbio.dll

%WINDOWS%\System32\patch.exe

2.在注册表中添加了注册项，如下：

HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

启动项名:@ 对应路径:C:\WINDOWS\System32 io.dll

HKEY_CLASSES_ROOT\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

启动项名:ThreadingModel 对应值:Apartment

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

启动项名:@ 对应路径:C:\WINDOWS\System32\patch.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71B3868A-D93C-49BF-AFEF-6B4536719A7E}\InProcServer32

启动项名:ThreadingModel 对应值:Apartment

3.木马会寻找互斥量_MUTEX_AD_____LOADER ，用来判断是否已经有木马在运行；若没有则会创建文件，

调用xsbio.dll中的函数JumpHookOn开始工作。

4.木马会通过寻找含有游戏的窗口，然后截获网络数据包，从而盗取网游用户的帐号相关信息。