病毒大百科

该病毒为Win32平台下感染可执行程序的PE病毒,病毒运行后复制病毒体至系统目录，检测用户机器上的可执行程序并进行感染；病毒通过检测微软的官方站点来判断用户机器网络连接状态，当网络可用时，病毒向病毒作者指定网站上下载后门、木马等，给用户安全造成威胁。
该病毒主要通过下载/安装被感染的程序进行传播。

1、病毒运行后释放一个迷惑用户的病毒体文件到系统目录下:
%system%\wmimgr32.dll
该DLL大小为23552字节。

2、加载该dll,dll加载过程中读取/写入%WinRoot%\system.ini内容，如：
[mcidrv32]
VideoVer=1234683
_hr=13
_dr=1
WININET=1

3、读取注册表项中的自启动程序,进行感染。
枚举注册表中的自启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4、扫描系统中的可执行程序并进行感染，感染时会加密原程序的入口代码。

5、通过连接微软的官方网站www.microsoft.com来判断网络状态，当网络已经连接时，病毒
通过连接以下网站下载病毒作者存放的后门、木马等:
www.xxxkuku.com
www.xxxnet11581q.com