2006年11月30日，江民公司反病毒中心监测到，军事综合门户_环球纵横网站（http:// www.globbs.com）首页引用恶意网址。用户使用没有打齐补丁的IE浏览器访问该页面会感染多种网游木马和QQ木马，用户的游戏帐号和QQ帐号将会受到极大的威胁。

    技术分析如下：

    军事综合门户_环球纵横网站首页中被嵌入恶意网址http://www.wjlys.com/aaa.asp ，

    而该恶意网址则分别引用http://www.168080.com/gg/09.htm 和http://www.god74.com/inc/cszaa.htm 和http://www.gzqxyl.com/boo.htm等多个恶意网址，利用MS-06014漏洞下载木马程序。

    恶意网址会下载并且执行http://www.god74.com/***/top.exe 文件，top.exe 是一个木马下载器，会从网上自动下载并且执行多个网游木马和QQ木马。

如图

    病毒运行后，将创建下列文件：

    c:\newspy\hook.dll, 24576字节
    c:\newspy\start.exe, 6961字节
    c:\program files\eset\expl0rer.exe, 62464字节
    c:\program files\svhost32.exe, 68608字节
    c:\winnt\download\svhost32.exe, 92160字节
    c:\winnt\intel\rundll32.exe, 35328字节
    c:\winnt\system32\aeybsv.dll, 41984字节
    c:\winnt\system32\aeybsv.exe, 39890字节
    c:\winnt\system32\dllt.dll, 43520字节
    c:\winnt\system32\dllwm.dll, 33280字节
    c:\winnt\system32\qqhx.dat, 39890字节
    c:\winnt\system32\rpcs.dll, 46592字节
    c:\winnt\system32\rpcs.exe, 165376字节
    c:\winnt\system32\wldll.dll, 40448字节
    c:\winnt\system32\xydll.dll, 38912字节

    在注册表中添加下列启动项：

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"sys" = %WinDir%\intel\rundll32.exe
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"xy" = %WinDir%\download\svhost32.exe
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"wl" = %WinDir%\download\svhost32.exe
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"namxja" = %SystemDir%\aeybsv.exe

    这样，在Windows启动时，病毒就可以自动执行。

    其中QQ木马尝试结束多款流行杀毒软件和防火墙，并在后台监视QQ运行，盗取用户的QQ帐号和密码。

    针对上述病毒，KV用户请升级到11月30日病毒库，即可全面查杀。江民公司再次提醒广大用户，上网浏览时一定要开启杀毒软件的实时监控功能，并要及时升级病毒库、安装微软的安全更新，以免受到病毒侵害。