该木马是网络游戏《传奇》的盗号木马。病毒运行后会衍生病毒文件到系统路径下，盗取账号信息，通过邮箱发送的方式发送到木马种植者手上。

1.生成文件.
%sys32dir%\kncer10.dll
%sys32dir%\kncer10.exe

2.修改系统文件
%sys32dir%\drivers\cdaudio.sys

3.生成注册表,增加启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run kcien32 "kncer10.exe"

4.生成注册表,添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei Type dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei Start dword:00000003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei ErrorControl dword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei ImagePath hex(2):53,79,73,74,65,6d,33,32,5c,44,72,69,76,65,72,73,5c,6d,73,69,66,66,65,69,2e,73,79,73,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msiffei\Security Security

5.病毒运行后会把dll注入到进程当中,通过设置消息钩子来盗取用户的账号资料.

6.病毒运行后还会删除源文件自身.

7.把盗取的账号资料通过网页提交的方式发送到木马种植者手上.
http://www.********.com/cqfuckbao/post.asp