1、通过腾讯SOSO搜索推广，冒充“简单百宝箱”官网欺骗用户下载木马（如上图1和下图3），文件名分别为jdbbxsetup.exe、jdbbxV6.0Beta.exe、jdbbx6.0Beta.exe；

图3：360安全卫士拦截伪装“简单百宝箱”的木马

2、jdbbxsetup.exe安装过程中会释放并运行DNF盗号木马ltuh.exe，以及《天龙八部》游戏盗号木马tlbb.exe。由于DNF帐号与QQ帐号打通，受害用户的QQ也会因此失窃。jdbbxV6.0Beta.exe的行为与jdbbxsetup.exe基本一致；

图4：jdbbxsetup.exe释放并运行DNF盗号木马1tuh.exe

3、DNF盗号木马ltuh.exe首先感染两个Windows系统文件，通过系统文件加载盗号组件；

4、《天龙八部》盗号木马tlbb.exe会监视游戏进程，在游戏运行后对IE、画图、ACDSee等界面截屏并发送到黑客服务器上，以此破解《天龙八部》游戏密保卡；

5、jdbbx6.0Beta.exe安装过程中释放并运行“蓝宝石远程控制”木马1.exe，以及《天龙八部》盗号木马tlbb.exe（分别如下图5和图6）；

图5：jdbbx6.0Beta.exe释放蓝宝石远程控制木马1.exe

图6：jdbbx6.0Beta.exe释放《天龙八部》盗号木马tlbb.exe

4、蓝宝石远程控制木马1.exe植入木马服务，再访问网络连接远程主机（即黑客控制端），如下图7和图8；

图7：1.exe植入木马服务

图8：访问网络连接黑客的远程主机