此木马及其家族成员近来出现很多变种，值得注意。

　　病毒在系统盘的%WINDOWS%\SYSTEM32\文件夹中释放出文件d9dx.dll和mpwdeapi.dll，然后就修改注册表，将自己配置为开机自启动。

　　当电脑重新启动，病毒就运行起来。它会枚举进程，然后展开监视，秘密记录下用户输入的类似网游帐号和密码的数据。并在后台悄悄连接病毒作者指定的远程地址，将记录到的数据发送出去，让玩家遭受虚拟财产的损失。

　　该毒还具有自动更新功能，在上传赃物的同时，它也会下载更新文件，以接收最新的恶意指令。

Win32.Troj.OnlineGamesT.se.65536
病毒名称(中文):网游帐号记录器65536病毒别名:威胁级别:★☆☆☆☆病毒类型:偷密码的木马病毒长度:1071392影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个网游盗号木马程序的变种。会在磁盘中释放出文件、修改注册表实现自启动，然后记录用户输入的类似网游帐号和密码的数据，并发送给指定的地址。它还具有自动更新的功能。

行为分析:

在磁盘中释放出以下文件:
C:\WINDOWS\SYSTEM32\d9dx.dll

在注册表中创建了以下信息:
“HKCR\CLSID\{55694105-5108-9405-3695-954187462155}\InprocServer32″

在注册表中设置了以下信息:
“HKCR\CLSID\{55694105-5108-9405-3695-954187462155}\InprocServer32″ “” “C:\WINDOWS\SYSTEM32\mpwdeapi.dll”
“HKCR\CLSID\{55694105-5108-9405-3695-954187462155}\InprocServer32″ “ThreadingModel” “Apartment”

病毒会连接作者指定的网址:
病毒会从 http://www.i***t.net/dk.txt 下载文件至本地计算机 C:\DNT_Temp\list.dnt
域名:”www.***t.net” 端口:80 (TCP)

在系统中创建了以下进程:
[SeDebugPrivilege]权限被病毒使用了
病毒会枚举系统进程，可能会对一些安全进程进行关闭操作

d9dx.dll dk.txt list.dnt