樣本鏈接：https://share.weiyun.com/777ffc0ca03cfd4b9c7b59ab7a87816f （密碼：Vr4b）
 
分析行為：

檢測(cè)是否被調(diào)試  4013B9

獲取版本，比較是否新版 4014AA

獲取外網(wǎng)IP及IP歸屬地

判斷歸屬地是否 內(nèi)蒙古【是則退出，否則繼續(xù)】

檢測(cè) 360Tray.exe（360） QQPCTray.exe（電腦管家）
kxetray.exe（金山毒霸） PowerRemind.exe（影子系統(tǒng)）
是否運(yùn)行，是則提示用戶關(guān)閉

檢測(cè)影子系統(tǒng)目錄及桌面是否存在游戲菜單.* //判斷運(yùn)行環(huán)境是否虛擬環(huán)境，例如網(wǎng)吧

檢測(cè) vmtoolsd.exe進(jìn)程及目錄 401DCF  //是則提示一串不友好的信息

檢測(cè) 破解工具包.exe  吾愛破解工具包.exe 及桌面是否存在 破解工具包.*

檢測(cè) 桌面是否存在 XueTr.*

屏幕截圖.png，放C:\WINDOWS\ 再轉(zhuǎn).jpg

將自身添加到系統(tǒng)啟動(dòng)項(xiàng)里

篡改系統(tǒng)關(guān)聯(lián)圖標(biāo)（指定圖標(biāo)）
EXE（Yule6.ico） JPG（Yule1.ico） PNG（Yule2.ico） BMP（Yule3.ico）
ICO（Yule4.ico） GIF（Yule5.ico） BAT（Yule4.ico） COM（Yule3.ico）
CMD（Yule2.ico） VBS（Yule1.ico） 
DLL SYS INI LNK MP3 MP4 WAV WMV AVI ZIP RAR TXT SCR ISO GHO BIN
7Z JS（Yule.ico）
 
結(jié)束taskmgr.exe explorer.exe進(jìn)程

桌面創(chuàng)建300個(gè)名為 UR NEXT UR NEXT UR NEXT 的文件

禁用任務(wù)管理器