PSW.Win32.OnLineGames.busz被执行后，在目录%SystemRoot%\system32下释放动态库“bnmhggo0.dll”，取操作系统文件时间作为病毒文件的时间以增强自身隐蔽性；遍历进程查找“explorer.exe”，申请内存空间将动态库”bnmhggo0.dll”写入，使用远程线程激活病毒写入的代码实现注入，以逃避常规杀毒软件的查杀；修改如下注册表健值使得explorer.exe及其子进程启动时自动加载动态库bnmhggo0.dll：

项：
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63}\
键值：VcmnDllModuleName
指向数据：C:\WINDOWS\system32\bnmhggo0.dll
项：
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-2E1B-450B-B843-50EADDC8EB63}\InprocServer32\
指向数据：C:\WINDOWS\system32\bnmhggo0.dll
项：
HKLM\SOFTWARE\Classes\CLSID\{C3D16072-B843-2E1B-450B-50EADDC8EB63}\
键值：VcmnSobjEventName
指向数据：BNMJJHYUIOPTREMN_0

动态库“bnmhggo0.dll”装载执行后, 遍历进程查找以下安全软件进程将其关闭，使用映像劫持手段劫持以下安全软件：
360tray.exe
AntiArp.exe
kavstart.exe
kissvc.exe
KVMonXP.kxp
KVsrvxp.exe
kwatch.exe
QQDoctor.exe
Ravmon.exe
RavMond.exe
RavTask.exe
safeboxtray.exe

将其重定向到“ntsd –d”这条命令， 枚举窗口查找网络游戏“卓越之剑”、”R2” 、”生肖传说” 、”机战” 、“大话2”、”完美国际”、”魔兽”的登录窗口，使用API函数“SetWindowsHookExA”设置钩子获取用户输入的信息，将盗窃到的游戏“ 账号”和“密码”通过“HTTP协议”发送到盗号者收信空间中。
安全提示

如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.OnLineGames.busz”，请直接选择删除