病毒大百科

    这是一个木马程序。病毒运行后复制自身至系统文件夹，并注册系统服务达到自启动目的。病毒通过伪装系统svchost.exe进程，在后台下载大量隐蔽软件
安装至用户计算机，有可能会造成用户计算机瘫痪。
    另外，病毒还会关闭金山清理专家等安全工具，来保护自身不被清除。

1.复制自身至
%sys32dir%\dllcache\1028\svchost.exe
然后利用批处理删除自身

2.添加注册表服务项以自启动
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost

3.伪装系统svchost.exe进程，并通过搜索系统进程来关闭以下安全工具
KASMain（金山清理专家）
360（360安全卫士）

4.尝试连接远程服务器下载大量隐蔽软件
hxxp://www.xxxx.cn/xx/xx.exe
hxxp://down.vxxxv.com/union/xxxx.exe
hxxp://down.vxxxv.com/union/xxx.exe