病毒大百科

该病毒为Windows平台下的后门程序，病毒运行时伪装成伪系统正常文件和伪系统正常服务以迷惑用户，当用户当前系统中存在特定进程时，病毒将病毒代码注入其进程中执行，执行完毕后，病毒作者可以在远程任意操控中毒机器，如下载用户隐私信息、删除/修改文件、关闭系统等等，结用户造成很大的危害。
病毒主要通过欺骗方式进行传播。

1、病毒运行后将自身复制为以下文件:
%WINDIR%\System32\remote.exe (病毒运行时设置文件创建时间同"locator.exe")

2、同时释放出病毒服务端主程序:
%WINDIR%\System32\kernel32.ime

3、添加如下服务,使病毒开机后自动运行:
服务名称: RpcRemote
显示名称: Remote Procedure Call (RPC) Remote
描述: 管理 RPC 名称服务数据库。
路径: %Windir%\system32\Remote.exe
启动类型: 自动

4、用户当前系统中存在以下进程时，病毒将病毒代码"kernel32.ime"注入相应进程中，这样就可以避开网络防火墙的监视:
svchost.exe
java.exe
ServUDaemon.exe
mysqld-nt.exe
sqlservr.exe
Apache.exe
inetinfo.exe