病毒行为：
该病毒为windows平台下专门针对天堂网络游戏的特洛伊木马，病毒运行后将自身伪装成系统正常程序，利用注入技术监视天堂网络游戏，并记录游戏的帐号、密码、角色装备等信息，同时病毒运行中会终止常见的反病毒软件。
病毒主要通过网络欺骗、软件捆绑，其它病毒携带等方式进行传播。

1、病毒运行后将自身复制为伪系统正常文件:
%Windir%\system32\explorer.exe
%Windir%\rundll32.exe
%Windir%\Internat.exe

2、释放出以下主盗号程序:
%Windir%\system32\dab1.dll
%Windir%\system\micro.dll

3、病毒运行过程中生成以下临时文件:
c:\gameab1.txt

4、病毒修改以下注册表项使病毒开机后自动运行:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Windir%\system32\userinit.exe,%Windir%\System32\explorer.exe"
如果是Win9x则病毒通过修改Win.ini文件使病毒开机后自动运行

5、病毒运行过程中会实时监视并终止以下相关反病毒软件进程:
RavMon.exe
EGhost.exe
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE

6、病毒会关闭窗体类名为"RavMonClass"的程序。


7、病毒利用注入技术将病毒代码注入每个进程中，然后通过判断主程序名为"Lineage.exe"
的方法定位天堂游戏，病毒还会通过查找窗体名为"Lineage Windows Client"的方式定位天堂游戏。

8、用户开启天堂游戏后，病毒在后台记录用户的游戏帐号、密码、角色装备、装备密码等信息，成功
获取用户游戏帐号密码信息后发送至以下地址:
http://www.cm***.net/use/mail.asp?tomail=wdo@www***.com&mailbody=