病毒大百科

这是一个木马程序，复制自身到系统目录，在各个磁盘分区根目录创建Autorun.inf和病毒文件，通过U盘传播，
并通过添加系统服务添加到启动项，同时监控带有“金山毒霸”字符串的对话框并关闭，注入到winlogon.exe和explorer.exe进程中，创建独立线程执行木马的代码。

1.复制文件：
%sys32dir%\4015D32C.DLL
%sys32dir%\4015D32C.EXE
%sys32dir%\del.bat
文件del.bat是用来删除执行的病毒文件的批处理。
另外，还在每个磁盘分区根目录下面创建以下两个文件：
autorun.inf
autorun.exe
其中Autorun.inf文件的内容指向autorun.exe，双击打开磁盘分区则会执行mcqdvnc.exe。

2.添加到到注册表：
添加到系统服务，随系统启动：
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\5445773B]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\5445773B]
[HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Services\5445773B]
以上注册表项键值均指向%sys32dir%\4015D32C.EXE。

添加以下注册表键值，禁止使用“LAST KNOW GOOD”（最后一次成功引导）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT]
ReportBootOk = dword:00000001

修改以下键值，破坏文件夹选项，隐藏自身：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = dword:00000001 -> dword:00000000

3.破坏方式
通过添加到系统服务随系统启动，在启动后注入winlogon.exe进程中，创建单独的线程，同时创建线程监控“金山毒霸”的对话框，
发现有对话框则关闭。木马复制到各个磁盘的根目录并创建autorun.inf，可以通过U盘传播。木马还会从网络读取配置文件，可能
进行自我更新或者下载其他木马文件。

4.相关网址：
http://al**a.v****x.cn/update.txt
可能是该木马的自动更新配置文件。