样本链接：https://share.weiyun.com/777ffc0ca03cfd4b9c7b59ab7a87816f （密码：Vr4b）
 
分析行为：

检测是否被调试  4013B9

获取版本，比较是否新版 4014AA

获取外网IP及IP归属地

判断归属地是否 内蒙古【是则退出，否则继续】

检测 360Tray.exe（360） QQPCTray.exe（电脑管家）
kxetray.exe（金山毒霸） PowerRemind.exe（影子系统）
是否运行，是则提示用户关闭

检测影子系统目录及桌面是否存在游戏菜单.* //判断运行环境是否虚拟环境，例如网吧

检测 vmtoolsd.exe进程及目录 401DCF  //是则提示一串不友好的信息

检测 破解工具包.exe  吾爱破解工具包.exe 及桌面是否存在 破解工具包.*

检测 桌面是否存在 XueTr.*

屏幕截图.png，放C:\WINDOWS\ 再转.jpg

将自身添加到系统启动项里

篡改系统关联图标（指定图标）
EXE（Yule6.ico） JPG（Yule1.ico） PNG（Yule2.ico） BMP（Yule3.ico）
ICO（Yule4.ico） GIF（Yule5.ico） BAT（Yule4.ico） COM（Yule3.ico）
CMD（Yule2.ico） VBS（Yule1.ico） 
DLL SYS INI LNK MP3 MP4 WAV WMV AVI ZIP RAR TXT SCR ISO GHO BIN
7Z JS（Yule.ico）
 
结束taskmgr.exe explorer.exe进程

桌面创建300个名为 UR NEXT UR NEXT UR NEXT 的文件

禁用任务管理器