病毒大百科

这是一个黑客远程工具。它利用感染正常的exe格式文件来进行传播。会利用中毒计算机来执行黑客指定的行为，攻击其它电脑。

1, 被感染文件,文件体积增大,入口被直接修改为病毒代码所在处;
2, 病毒运行时异或解密病毒自身其余代码，并转入执行;
3, 病毒异或解密自身携带的文件，并释放至%SystemRoot%\Services.exe,然后执行此文件.
4, 病毒读取自身保存的原始入口，并转入执行。
5, 释放出的Services.exe使用当前系统信息计算得到目录名并把自己复制到%SystemRoot%\system32\(刚刚生成的目录名)处，并修改注册表添加启动项(HKLM\SOFTWARE\MICROSOFT\CurrentVersion\Run)。
6，Services.exe枚举当前进程，若进程名包含特定字符串(如:LordPE,hijack,pavprsrv,guard等31项)则尝试停止该进程。
7, 病毒读取自身携带的ip列表，并逐一ping。
8, 病毒启动感染线程。
9，病毒检查自身携带的列表，并尝试更新自身(如indones______.__b.net/_____one.jpg,34___.__b.net/___ds.jpg等4项)。
10,病毒重复写注册表中自身的启动项。