这是一个盗取《QQ华夏》、《QQ三国》，《风火之旅》等游戏帐号密码的木马。它具有一定的对抗能力，能破坏一些常见安全软件的进程。

病毒运行之后，
会释放
C:\WINDOWS\system32\MMWLANGH1006.dll
C:\WINDOWS\system32\MMWLANGH1006.exe
C:\WINDOWS\system32\drivers\Hdv32.sys
C:\WINDOWS\system32\drivers\Hdv32_C.sys
添加注册表启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8942ff57-5cf4-4ef5-9ffa-1b6d48b4d3fc}\InprocServer32 ThreadingModel "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {8942ff57-5cf4-4ef5-9ffa-1b6d48b4d3fc} "MMWLANGH1006.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs "" "MMWLANGH1006.dll"

病毒自身经过WinUpack 0.39 final -> By Dwing [Overlay]加壳，释放出的文件也被Upack 0.3.9 beta2s -> Dwing等加壳工具处理过

病毒运行后拷贝自身到C:\WINDOWS\system32下，重命名为MMWLANGH1006.exe，然后释放一个dll到C:\WINDOWS\system32下，名为MMWLANGH1006.dll，释放驱动Hdv32.sys和Hdv32_c.sys,添加注册表启动项，打开服务，启动.sys文件，病毒会释放驱动，恢复SSDT过杀毒软件。
病毒会检查执行文件是否为C:\WINDOWS\system32\MMWLANGH1006.exe，不是的话就WinExec C:\WINDOWS\system32\MMWLANGH1006.exe HIDE。
MMWLANGH1006.dll是病毒的主要功能部分，通过注册表完成启动，在启动后遍历系统进程，结束掉AVP.exe,360Tray.exe,Ravmond.exe等众多的杀毒软件进程，检查是否有qqhxgame.exe,qqlogin.exe,qqsg.exe,FJlogin.exe等游戏的进程，找到就进行盗号。
病毒会创建一个.bat文件删除原病毒文件。