病毒行为：
该病毒为Windows平台下专门针对传奇网络游戏的盗号型木马,病毒运行后将自身复制至系统目录下，并加入注册表自启动项，然后在后门监视用户游戏帐号、密码等信息，并将信息保存为系统目录下的特定文件，网络可用时病毒将相关信息发送给病毒作者，导致用户帐号密码丢失。
病毒主要通过网络欺骗方式进行传播。

1、病毒运行过程中判断自身是否为系统目录下的".exe"文件，不是则复制自身为以下文件:
%Windir%\system32\.exe

然后生成"deleteme.bat"文件,并删除以下注册表项，使其"deleteme.bat"可以正常运行:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
NoRealMode = value


2、病毒运行过程中生成以下盗号主程序，并且将该程序注入进程中:
%windir%\system32\MSDBRPTR32.dll


3、生成"%windir%\system32\Getspytype32_.ocx"文件，内容如下:
[MyIniStr]
strAspUrl=
strMailAddress=
strFmail=
strSmtp=
strMname=
strMpass=
strStname=
strQQmsg=
strMSmsg=
strStartBz=
strMailSize=
PassStrs=
strMmbwl2004=

4、添加如下相关注册表项:
[HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion]
"bwlpathb" = value

5、病毒运行过程中对应于不同的平台添加以下相关的注册表自启动项:
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
HKEY_CLASSES_ROOT\exefile\\shell\\open\\command

6、病毒运行后在后台监视记录用户传奇游戏帐号密码信息，获取后将相关信息发送至病毒作者指定的网站或信箱。