病毒行为：
这是一个盗取魔兽世界帐号的木马。病毒会添加系统服务随系统启动自动运行，并监视系统中的游戏进程，盗取帐号信息并提交到指定的网址。

1、病毒运行后释放如下病毒文件：
C:\nxldr.dat
C:\WINDOWS\system32\KB8964225.log
C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp

2、修改注册表，创建如下服务，以便随系统自动启动：

HKLM\System\CurrentControlSet\Services\NetWorkLogon
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Type"=0x110
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Start"=0x2
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ErrorControl"=0x0
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ImagePath"="rundll32.exe KB8964225.log,start"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"DisplayName"="Network Logon"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Security"=0x2001F
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"ObjectName"="LocalSystem"
HKLM\System\CurrentControlSet\Services\NetWorkLogon
"Description"="支持网络上计算机远程登陆事件。如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。"
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Type"=0x1
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ErrorControl"=0x0
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\mchInjDrv
"ImagePath"="\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\mc2B.tmp"

3、插入conime.exe和ctfmon.exe进程,反复添加病毒服务。

4、监视系统中的游戏进程，若发现则读取帐号密码等相关信息并提交到指定的网址。