该病毒采用PECompact加壳处理，运行后会释放一个名为“1.dLl”的文件到系统目录中。同时在注册表中添加启动项目，实现随系统启动自动运行。该病毒自动在后台运行，会试图窃取网络游戏“征途”的账号和密码等信息并发送给黑客。

　　病毒特征：这是个将自己与一个征途多个辅助工具捆绑在一起的征途盗号木马。

　　发作症状：开机就弹出很多病毒警告，病毒文件是ztdll.dll，隔离和清除都失败，重新启动进入安全模式杀毒，把ztdll.dll清除掉，重启后进入系统又弹出同样的病毒警告，证明病毒源未找到。

　　后来在系统进程里发现一个不正常的进程svhost32.exe，经过查找，发现果然是它在做怪，其运行原理是开机自动加载运行，然后释放ztdll.dll。

　　病毒原理：该病毒在被执行时首先执行捆绑的病毒体，然后弹出一个征途多开辅助工具的界面。病毒体执行的过程中会释放病毒文件到 %UserDir%\Local Settings\Temp\zt.exe下并执行。由病毒文件zt.exe释放文件%system%\dll.dll，并将其设置为只读、系统和隐藏属性，并且修改注册表项。该木马病毒不断的查找征途客户端窗口，获得用户帐号信息后发送到指定网站。

　　清除病毒办法：

　　1. 任务管理器里结束进程 svhost32.exe

　　2. 删除文件 C:\ProgramFiles\svhost32.exe

　　3. 运行regedit.exe进入注册表，删除启动项:

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

　　"load"="%ProgramFiles%\svhost32.exe"