病毒大百科

该病毒为Windows平台下载其它木马的病毒，病毒运行后将自身复制为伪系统正常程序；利用注入技术绕过
网络防火墙的监视下载其它病毒。
病毒主要通过系统漏洞，欺骗安装方式进行传播。

1、病毒将自身复制为以下伪系统正常文件:
%Windir\Winsvc.exe

2、病毒运行后将自身添加为以下注册表自启动项，使病毒开机后运行病毒:
[HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\run]
WinSvc = "%Windir\Winsvc.exe"

3、病毒首先通过"%Root%\Program Files\Internet Explorer\IEXPLORE.EXE"，然后将
下载代码注入刚创建的IE进程中，如果启动IE进程失败，则病毒枚举svchost.exe的进程，
然后将下载代码注入svchost进程。

4、网络资源可用时，病毒连接以下网站下载并运行其它木马:
http://www.52***.net/xiazai/run.exe
下载后保存为:%Windir%\system32\0.exe