病毒大百科

这是一个感染型的后门程序。它会扫描本地磁盘的文件进行感染，同时会枚举局域网内资源，通过感染局域网内共享文件进行传播。它会打开端口监听，在后台执行黑客命令。

1. 会把自身拷贝到系统目录中，C:\windows\system32\drone.exe。

2. 注册为服务启动，服务名为drone。

3. 开启一个线程，循环从C:\到Z:\盘查找文件，如果是目录，则判断是否是windows,winnt,progam files这几个目录，如是则跳过这几个目录，否则对找到的目录再进行递归查找。如果是文件则判断是否是PE文件，主要感染.exe,.ocx,.scr文件，并排除一些文件，感染通过在文件尾新建块和构造块表，并修改OEP来完成。

4. 程序不停的枚举局域网内的资源，如果是计算机则递归查找，是文件就继续感染，从而在局域网内进行传播。

5. 程序打开一个线程在30467端口上监听，通过后台开启cmd执行命令，从而较隐蔽。