病毒大百科

这是一个木马下载器。它会从指定的地址下载一些流氓软件，运行完毕后还会删除自己释放出的文件。

1．通过"3c93c6661ed2c2"种子循环解密流氓软件下载地址 http://888.xxx.cn/pw.ini
2．创建%windir%\(*).tmp (*为数字如5)，将pw.ini文件内容写入。
[main]
u=http://219.xxxx.34.9/fuckwer/sss.exe
c=/S
3．获取文件中的流氓软件下载地址后删除上面创建的(*).tmp
4．创建%windir%\(*).tmp (*为数字如6)，将sss.exe文件内容写入。
5．解密kernel32.dll和CreateProcessA，然后用LoadLibraryA kernel32.dll，用 GetProcAddress CreateProcessA，然后以/s参数来运行下载后的(*).tmp
%windir%\(*).tmp /s
6．以/s参数来运行下载后的(*).tmp
7．删除(*).tmp
8．退出自己进程