病毒大百科

这是一个感染型病下载器。它利用感染和捆绑其它文件来实现传播。进入电脑后就感染系统中的winlogo.exe文件，再利用该文件的自动启动实现运行，然后从网上下载其它病毒。

1.病毒源运行后释放文件%system32%\main.sys，注册服务EXAMPLE加载该文件:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EXAMPLE;

2.main.sys释放dll文件SystemRoot\system32\ws2_32.dll:fork2，如果失败则释放 \SystemRoot\system32\wsys.dll；

3.main.sys使用驱动感染技术修改操作系统程序winlogon.exe，在其中添加病毒代码来加载文件SystemRoot\system32\ws2_32.dll:fork2，重启计算机后被修改的winlogon.exe开始执行，这样就等于成功添加了加载ws2_32.dll:fork2的启动项。

4.释放的dll文件再次释放文件%temp%/svchost.exe并执行，svchost.exe注入ie下载执行其它恶意软件。