病毒大百科

这是一个感染型文件。它会释放出病毒，继续感染其他文件。当用户运行被感染的文件时，病毒会调运正常的文件来，同时悄悄搜寻正常文件进行感染。

1, 被感染的文件会继续感染%Windows%下的Explorer.exe,并将正常的Explorer.exe拷贝到%Temp%目录下重命名 为lorer.exe,感染后的Explorer.exe拷贝到%SystemRoot%\dllcache下;

2, 感染后的文件公继续感染,正常文件入口的前5个字节指令被替换成病毒代码,跳转到病毒代码处执行;

3, 病毒的代码分散在各个节的空闲处,由一张表指向每个病毒代码段的长度和大小
而后会分配一个全局堆,将病毒代码段统一解密拷贝进堆中,有部分指令需要解密,有意思的是解密的密钥为时 间戳的低8位,最终的病毒代码是跳转到堆中执行的.