病毒大百科

这是远程控制木马“网络红娘”的变种。它为了逃避杀毒软件的查杀，插入了大量垃圾指令，同时，将图标伪装为常见的安装文件图标。病毒被激活后，还会先打开一张图片，再去执行病毒代码

1.病毒首先试图结束以下杀毒软件进程，包括kwatch.exe，avp.exe，rising.exe；

2.病毒在%Windir\temp目录下释放一张图片文件"我照片.jpg",并打开该图片以欺骗用户。

3.病毒开始备份自身，将病毒原文件复制到以下位置：
%windir%\system32\mywlhn.exe,同时传递新参数1运行mywlhn.exe，

4.mywlhn.exe运行后，在系统中释放文件：
%windir%\system32\mywlhn.dat；
病毒新建线程监视系统内rising和微点杀毒软件提示窗口，当发现存在这些窗口时，模拟鼠标按键消息放行文件，并将文件添加为“可信”。

5.创建服务mywlhn来加载文件mywlhn.exe，修改注册表如下位置：
HKLM\SYSTEM\CurrentControlSet\Services\mywlhn，
"imagePath"=%windir%\system32\mywlhn.exe -service。

6.开启上述服务，mywlhn.exe开启一个IE进程,并在其中创建远程线程来加载mywlhn.dat,mywlhn.dat驻留系统并负责与接收监控端命令，达到控制中毒电脑的目的。