病毒大百科

这是一个AV终结者的最新变种。它会劫持大部分安全软件，破坏安全模式，还会释放出传染性极高的Auto病毒，借以扩大自己的传播范围。

1.病毒运行后，产生以下病毒文件
%windir%\sssurl.dll
%windir%\wuauc1t.exe
在每一个盘的根目录下会生成一个explorer.exe文件和AUTORUN.INF文件.

2.在注册表中添加键值，让病毒副本随系统自动启动。

3.病毒运行后会生成一个病毒文件名的常驻进程.

4.病毒还会把Dll文件注入到explorer.exe和其他的非系统进程当中.

5.利用映像劫持技术，令大部分安全软件无法启动，以保护自身。禁用的安全软件有：360安全卫士，金山arp防火墙，QQ医生,IceSword，卡巴等。

6.删除以下注册表键值,破坏安全模式,让中毒者无法进入windows模式.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} @ "DiskDrive"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} @ "DiskDrive"

7.修改注册表，使中毒者无法显示隐藏文件和系统文件。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL CheckedValue dword:00000001 dword:000005b8

8.利用映像劫持技术,令注册表编辑器无法打开.
9.连接远程地址，下载大量病毒，主要是盗号木马