这个病毒会利用下载器下载或捆绑文件等方式混入用户的电脑系统，然后释放出两个病毒文件。分别是%WINDOWS%目录下的fmsbbqi.exe，以及%WINDOWS%\system32\目录下的fmsbbqi.dll。Fmsbbqi.exe是病毒主文件，会被写入注册表启动项，以实现开机自启动。而fmsbbqi.dll是负责盗号的文件。

　　病毒在顺利运行起来后，将fmsbbqi.dll注入到系统桌面进程explorer.exe，展开全局监视，查找游戏窗口名为“ElementClient Window”的网络游戏，以及《魔兽世界》和《游戏茶苑》的进程。发现后注入其中，盗取帐号和密码等信息。

　　当盗窃成功，病毒便在后台悄悄廉静儿病毒作者指定的远程地址http:/ /www.ck****6.com，将赃物发送过去，给用户造成虚拟财产的损失。
“茶苑盗号者69632”（Win32.PSWTroj.GameOL.69632），这是一个盗号木马。它在注册表中创建自动启动项，然后注入系统桌面进程，盗取《魔兽世界》、《游戏茶苑》等网络游戏的帐号信息，并把盗取所得的信息发送至指定的接收网址。

病毒名称(中文):茶苑盗号者69632病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:69632影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个盗号木马。它在注册表中创建自动启动项，然后注入系统桌面进程，盗取《魔兽世界》、《游戏茶苑》等网络游戏的帐号信息，并把盗取所得的信息发送至指定的接收网址。

盗号木马,通过创建注册表 Run 启动项启动,注入 explorer.exe 进程,盗取指定的网络游戏帐号信息并把盗取所得的信息发送至指定的接收网址.

病毒运行后释放以下病毒文件:
%systemroot%\fmsbbqi.exe
%systemroot%\system32\fmsbbqi.dll

将病毒文件 %systemroot%\system32\fmsbbqi.dll 注入 explorer.exe 的进程空间.

病毒安装全局钩子,挂钩类型为 “WH_MOUSE”.

盗取系统上游戏窗口名为”ElementClient Window”的网络游戏、《魔兽世界》和《游戏茶苑》的帐号信息并发送至木马种植者指定的接收网址.

病毒创建注册表 Run 启动项:
Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Value: “fmsbbqi”
Data: “%systemroot%\fmsbbqi.exe”

指定的接收网址:
http:/ /www.ck****6.com/wow5566/lin111.asp?a=##&s=##&u=##&p=##&r=##&l=##&pin=## [魔兽世界]
http:/ /www.ck****6.com/cy876/lin111.asp?s=##&ie=## [游戏茶苑]