Win32.Troj.Lineage.hi

这是一个盗取用户输入信息的木马，它通过挂接系统的键盘和鼠标消息来记来用户输入的数据，保存文件后发送到指定的网站上。

病毒首先会把自己拷贝入system32目录下，命名为Kerne14.exe，并加上只读、隐藏、系统三个文件属性。
之后病毒会在注册表中HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
加入一个值load，指向kerne14.exe的路径，使病毒能随Windows启动；并在相同目录下创建一个文件名为$$a$$.bat的文件，
写入以下内容后执行，删除病毒文件；

@echooff
:try
del"c:\virus\PEWIN3~1.V"
ifexist"c:\virus\PEWIN3~1.V"gototry
del%0
cls

之后用WinExec运行Kerne14.exe文件，退出程序，把记录用户信息等任务交给Kerne14.exe。
Kerne14.exe启动后，会在system32目录下放出一个名为microsoftie4.dll的文件。
之后Kerne14.exe就会调用该DLL文件进行收集信息的工作。
病毒会把键盘KEY_DOWN消息和鼠标WM_MOUSEMOVE消息挂接入(hook)microsoftie4.dll里面，
使病毒能记录用户的键盘和鼠标动作，并记录在c:\log.txt里面，
之后就会把此文件发送到“h**p://www.410200.net/mgt1/upfile.asp”网站上面去。
由于病毒记录的是用户的键盘与鼠标操作，一但用户的敏感信息如帐号密码等被记录了，就会造成用户信息可能被泄漏。