病毒大百科

这是一个间谍木马程序。它能够记录用户的系统数据和所在地区，以及用户使用搜索引擎时输入的关键词，然后将这些信息发送给病毒作者。该毒有一个特点，就是病毒作者可以给它指定发作地区。

1. 创建线程explorer.exe，删除自身
2. 将自身复制到c:\WINDOWS\system32目录下，名字随机生成
3. 在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon增加记录system，值为生成的文件名
4. 将自身文件映射到内存，从6*.2*.1*8.221下载文件到该映射，即覆盖文件
5. 检查父进程是否是explorer，若不是则将其关闭
6. 给自身创建并开启服务，服务名为Windows Tribute Service
7. 从IE的缓存中检查访问过的网址

检查IE缓存，将msn、google、yahoo、aol、icq等等搜索引擎所使用过的关键词记录到缓存
检查当前浏览器是iexplore.exe还是firefox.exe，将上面的信息发送给1*1.*9.0.2

8. 检查Control Panel\International的键值iCountry、Nation判断所在的国家，可以通过此处来设定在特定的国家执行该病毒，这里没有设定

9. 将系统目录下的exe文件创建进程执行一次，然后关闭，得到一个能执行的exe文件，然后再创建进程执行，并且调用一组API将得到的信息写入到该进程申请的空间中去

10. 打开explorer.exe进程，将自身代码以及信息注入进去，然后恢复线程执行