http://blogs.360.cn/360safe/2014/08/29/cnc_*_and_fake_proto/

原文：

BMP1和BMP2是两个lnk文件（快捷方式），我们知道bmp的图片是隐藏的，gldata连扩展名都没有，dll文件虽然是可执行程序，但双击也是没用的。所以用户自然会在如此精心的安排下点击这两个lnk文件。其中BMP2主要功能是将病毒主题添加到系统自启动，命令行如下：

C:\WINDOWS\system32\rundll32.exe advpack.dll,LaunchINFSectionEx %appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32

BMP1其实很简单，一个快捷方式而已，他要解决的问题其实只有一个——整个病毒里没有exe文件，而dll文件又不能直接自己运行。所以这个快捷方式的唯一作用就是调用系统的rundll32去执行dll文件：

C:\WINDOWS\system32\rundll32.exe logmain.dll,gbrztmip

-----------------------------------------------------------------------------------------------------

另类加载dll，也就是快捷方式，启动参数

“C:\WINDOWS\system32\rundll32.exe” advpack.dll,LaunchINFSectionEx %appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32

启动rundll32.exe程序加载advpack.dll执行dll中的LaunchINFSectionEx函数，%appdata%\gbrztmip\gbrztmip.inf,DefaultInstall,,32为函数参数

“C:\WINDOWS\system32\rundll32.exe” logmain.dll,gbrztmip

启动rundll32.exe程序加载logmain.dll执行dll中的gbrztmip函数