“酷獅子”系列木馬的各個(gè)變種行為基本一直，有一個(gè)EXE文件，并且能釋放DLL文件。

　　“酷獅子”木馬樣本加載過(guò)程：

　　“酷獅子”木馬先把自己復(fù)制到Windows目錄，并釋放DLL到Windows目錄下。接下來(lái)檢查當(dāng)前運(yùn)行的目錄是Windows，網(wǎng)游還是其他。當(dāng)前目錄是網(wǎng)游的情況，會(huì)先運(yùn)行網(wǎng)游客戶端，然后運(yùn)行剛才復(fù)制到Window目錄下的程序。當(dāng)前目錄是Windows的情況會(huì)加載DLL部分，然后處于等待狀態(tài)。DLL成功盜號(hào)后，盜號(hào)EXE結(jié)束執(zhí)行。

　　如果當(dāng)前目錄不在上述情況中，盜號(hào)木馬將會(huì)查找目標(biāo)網(wǎng)游的目錄，并執(zhí)行下面操作：

　　WOW：WOW.EXE改名為 W0W.EXE，將W0W.EXE設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號(hào)木馬改名為WOW.EXE。

　　熱血江湖：auncher.exe改名為launchar.exe，將launchar.exe設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號(hào)木馬改名為auncher.exe。

　　完美世界、武林外傳和誅仙用的相同客戶端：elementclient.exe改名為elemontclient.exe，將elemontclient.exe設(shè)置為隱藏屬性和系統(tǒng)文件屬性;盜號(hào)木馬改名為elementclient.exe。

　　注：沒(méi)有任何文件保護(hù)功能，假如網(wǎng)游需要更新客戶端程序，該盜號(hào)木馬將被清除。

　　盜號(hào)部分：

　　在固定偏移讀取游戲關(guān)鍵內(nèi)存數(shù)據(jù)，通過(guò)破解內(nèi)存中的信息取得用戶信息。由于是固定偏移，游戲程序的版本改動(dòng)都可能導(dǎo)致盜號(hào)失敗。

　　正如前述，該系列木馬是為個(gè)人“定做”的，用于接收盜號(hào)信息的網(wǎng)址都是不同的，但是參數(shù)是相同的。具體格式如下：

　　User= 用戶名&pass = 密碼& ser = 服務(wù)器名_網(wǎng)絡(luò)連接 &cangku =倉(cāng)庫(kù)密碼

　　&beizhu = 備注&rw = 等級(jí) &pcname = 計(jì)算機(jī)名

　　在誅仙盜號(hào)中發(fā)現(xiàn)的“cctvtvtvtvtD”(CCTV的粉絲?)

　　在完美世界盜號(hào)中發(fā)現(xiàn)的“真情告白”：

　　“ZHUZHUHENKEAI”

　　“ZHUZHUSHITOUZHU”

　　“WOLAOPOSHIDABENZHUHAHA”

　　在另外一個(gè)完美世界盜號(hào)中發(fā)現(xiàn)：

　　“QUANTIKEHUHAHAHAHAHAFDSFDSFSDF”(“全體客戶”是指用戶?)