樣本鏈接：https://share.weiyun.com/777ffc0ca03cfd4b9c7b59ab7a87816f （密碼：Vr4b）
 
分析行為：

檢測是否被調(diào)試  4013B9

獲取版本，比較是否新版 4014AA

獲取外網(wǎng)IP及IP歸屬地

判斷歸屬地是否 內(nèi)蒙古【是則退出，否則繼續(xù)】

檢測 360Tray.exe（360） QQPCTray.exe（電腦管家）
kxetray.exe（金山毒霸） PowerRemind.exe（影子系統(tǒng)）
是否運行，是則提示用戶關(guān)閉

檢測影子系統(tǒng)目錄及桌面是否存在游戲菜單.* //判斷運行環(huán)境是否虛擬環(huán)境，例如網(wǎng)吧

檢測 vmtoolsd.exe進程及目錄 401DCF  //是則提示一串不友好的信息

檢測 破解工具包.exe  吾愛破解工具包.exe 及桌面是否存在 破解工具包.*

檢測 桌面是否存在 XueTr.*

屏幕截圖.png，放C:\WINDOWS\ 再轉(zhuǎn).jpg

將自身添加到系統(tǒng)啟動項里

篡改系統(tǒng)關(guān)聯(lián)圖標（指定圖標）
EXE（Yule6.ico） JPG（Yule1.ico） PNG（Yule2.ico） BMP（Yule3.ico）
ICO（Yule4.ico） GIF（Yule5.ico） BAT（Yule4.ico） COM（Yule3.ico）
CMD（Yule2.ico） VBS（Yule1.ico） 
DLL SYS INI LNK MP3 MP4 WAV WMV AVI ZIP RAR TXT SCR ISO GHO BIN
7Z JS（Yule.ico）
 
結(jié)束taskmgr.exe explorer.exe進程

桌面創(chuàng)建300個名為 UR NEXT UR NEXT UR NEXT 的文件

禁用任務管理器