Win32.Troj.Gamania.a

这是一个盗取天堂帐号信息的木马病毒。该病毒首先会尝试关闭一些常用病毒防火墙和一些反木马程序，如金山网镖、瑞星防火墙、天网防火墙、木马克星等。然后就挂钩系统的鼠标和键盘消息，截取用户的天堂游戏帐号信息，并将这些帐号信息发送到木马种植者预定的邮箱。

1.创建信号量tt1MMa防止多个实例同时运行。

2.WinNT下将自己复制为C:\ProgramFiles\explorer.exe，释放病毒文件%System%\htdll.dll（Win32.Troj.PSWLineage.be）。
Win9X下将自己复制为%System32%\INTERNAT.EXE和%SystemRoot%\RUNDLL32.EXE，释放病毒文件%System%\htdll.dll

（Win32.Troj.PSWLineage.be），并将自己注册位后台服务进程，从而在任务治理器中隐藏自己。

3.修改注册表。
在注册表中添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"sys_Runtt1"="C:\ProgramFiles\explorer.exe"

4.查找窗口名和窗口类为：
RavMon.exe
RavMonClass

天网防火墙个人版
Tapplication

天网防火墙企业版
TForm1

噬菌体
TfLockDownMain

ZoneAlarm
ZAFrameWnd
的窗口并关闭它们。

终止进程：
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
IPARMOR.EXE

5.下载指定网络文件到本地计算机运行。

6.病毒将释放的文件htdll.dll注入到Explorer.exe进程中，然后就挂钩系统的鼠标和键盘消息，窃取用户天堂游戏密码，通过网页或者直接发送给木马种植者。