本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
病毒运行后释放以下病毒文件: %systemroot%system32 iluw.cfg %systemroot%system32 iluw.dll %systemroot%system32driversmsacpe.sys

行为分析：
这是一个盗号木马。木马通过创建系统服务实现开机启动，结束360安全卫士相关进程和“killer_Gdwli32.exe”专杀工具进程，然后盗取网络游戏《武林外传》的帐号信息，并发送给木马种植者。

描述：
病毒运行后释放以下病毒文件:

%systemroot%system32
iluw.cfg

%systemroot%system32
iluw.dll

%systemroot%system32driversmsacpe.sys



判断系统是否有"ElementClient.exe"进程在运行,有则结束该进程.



删除系统上的"%systemroot%system32msepion.sys"文件.



获取环境变量"ComSpec"得到"cmd.exe"的全路径,调用"cmd.exe"执行自删除命令.



枚举系统进程,结束以下进程名:

360Tray.exe

360Safe.exe

killer_Gdwli32.exe



查找窗口标题名为"奇虎360安全卫士"的窗口和窗口类名为"Q360SafeMainClass"的窗口,有则获取其进程ID关闭.



判断病毒文件"%systemroot%system32
iluw.dll"是否注入到"ElementClient.exe"进程,如是则进行盗号操作.



盗取系统上的网络游戏《武林外传》的帐号信息并发送给木马种植者.



病毒创建以下注册表:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy Type dword:00000001

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy Start dword:00000002

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy ErrorControl dword:00000001

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy ImagePath %systemroot%system32driversmsacpe.sys

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy DisplayName "mseqsy"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsy Description "mseqsy"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmseqsySecurity



HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MSEQSY



HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_WL