病毒大百科

这是一个木马下载器。它不需创建任何启动项就可运行，会破坏多款安全软件的正常运行，然后从病毒作者指定的网址下载大量的木马程序。

释放病毒文件:
%sys32dir%\wininnet.nls
%temp%\orz.exe

病毒运行后映像劫持了avp、毒霸、瑞星、nod32等N多安全软件.

生成随机6个字符的驱动文件,如生成随机字符失败则使用指定的字符"cafesvr",创建驱动文件后创建服务并启动.

病毒通过重定位ntoskrnl.exe(2000系统)或ntkrnlpa.exe(Xp系统),并通过"\\.\XPSAFE"符号连接与驱动之间通信恢复SSDT.

创建线程结束大量的安全软件进程.(使用了四种结束进程的方式)

调用 %sys32dir%\wininnet.nls 的导出函数,执行全局挂钩.

生成的 %temp%\orz.exe 里的数据为 "FUCK FLASH.".

下载以下网址(如成功下载一个就停止下载其它),下载后保存为 %sys32dir%\config.ini.
http:/ /txt.sonuher6.info/tt/1.txt
http:/ /txt.yinuoben7.info/tt/1.txt
http:/ /xtx.sonuher6.info/tt/2.txt
http:/ /xtx.yinuoben7.info/tt/2.txt
http:/ /tox.sonuher6.info/tt/3.txt
http:/ /tox.yinuoben7.info/tt/3.txt

读取 %sys32dir%\config.ini 的内容(木马下载地址N个),执行下载操作.下载保存在 %sys32dir%\XXXXX.exe(XXXXX为随机的5个字符)并执行.