Win32.Troj.OnlineGames.fb

这是一个盗号木马释放的DLL文件，该木马能够盗取多款网络游戏帐号。使用了基于SPI的DLL木马技术来进行木马进程的隐藏。

1.病毒DLL运行后，首先判定调用该DLL模块的文件名是否是svchost.exe和alg.exe，假如是表明已经被感染；

2.假如还未感染，则遍历进程，寻找sqmapi32.dll，找到该进程，则提升权限，开辟空间，创建远程线程，即建立与远程联系
的后门。

3.装载qdshm.dll资源，创建进程将木马程序嵌入到服务提供者的DLL文件中。

4.利用WSPStartup模块，启动系统网络服务，同时木马每次随着系统启动，自动跑起来。

5.该木马主要危害是盗号。

6.该木马使用了基于SPI的DLL木马技术来进行木马进程的隐藏。主要实现是利用在每个操作系统中都有系统网络服务，
它们是在系统启动时自动加载，而且很多是基于IP协议的。病毒作者写了一个IP协议的传输服务提供者，并安装在服务提供者数据库
的最前端，系统网络服务就会加载木马的服务提供者。再将木马程序嵌入到服务提供者的DLL文件中，在启动系统网络服务时木马程
序也会被启动。这种木马的特点是只需安装一次，而后就会被自动加载到可执行文件的进程中，还有一个特点就是它会被多个网络
服务加载。通常在系统关闭时，系统网络服务才会结束，所以木马程序同样可以在系统运行时保持激活状态。
在传输服务提供者中，有30个SPI函数是以分配表的形式存在的。在Ws2_32.dll中的大多数函数都有与之对应的传输服务
提供者函数。如WSPRecv和WSPSend，它们在Ws2_32.dll中的对应函数是WSARecv和WSASend。病毒作者编写了一个基于IP协议的服务
提供者并安装于系统之中，当系统重启时它被svchost.exe程序加载了，而且svchost.exe在135/TCP监听。在传输服务提供者中，
重新编写了WSPRecv函数，对接收到的数据进行分析，假如其中含有客户端发送过来的暗号，就执行相应的命令获得期望的动作，
之后可以调用WSPSend函数将结果发送到客户端，这样不仅隐藏了进程，而且还重用了已有的端口。