收到轩辕小聪发来的样本——“QQ幻想自动挖矿外挂.exe”。这是个木马，不是什么“外挂”。

这个木马文件虽然是RAR图标，但其后缀是.exe。玩儿外挂的菜鸟多会双击它，希望用WINRAR解压出那个“外挂”。
其实，双击后，这个木马已经运行。
此马运行后:
1、释放下列文件：
C:\Program Files\Internet Explorer\PLUGINS\new123.dll
C:\Program Files\Internet Explorer\PLUGINS\new123.sys

2、写入注册表：
在：HKEY_CLASSES_ROOT\CLSID\分支
添加：{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}
在：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支
添加："{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}"=""

根据上述行为，我认为此马是“刘麻子”的一个变种。多了一个sys文件而已。
此马通过ShellExecuteHooks加载，中招用户点击桌面上的任何可执行文件图标，均会运行C:\Program Files\Internet Explorer\PLUGINS\new123.dll。

查杀:
1、用SSM禁止下列木马程序运行：
C:\Program Files\Internet Explorer\PLUGINS\new123.dll
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
2、删除木马添加的注册表内容。
3、重启系统。
4、删除木马文件。