病毒大百科

这是一个类似于机器狗的木马下载器程序。它的行为与年初时曾流行的机器狗病毒类似，都是破坏安全软件和系统安全模块后执行病毒下载行为。不过，由于此毒是一个半成品，因此只会破坏电脑的安全系统，而无法执行下载。

1.病毒开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，修改系统时间为2003年。

2.在系统%windows%\system32\drivers下释放文件7.tmp(文件名随机)，创建服务DPhyDiskSys并开启以加载该文件。

3.执行命令"cacls C:\WINDOWS\System32 /e /p everyone:f"替换掉所有用户对系统目录的完全控制权限。

4.判断硬盘第一分区是否是活动分区及分区类型是否支持，利用7.tmp在硬盘中定位explorer.exe，向7.tmp加载的设备发送指定命

令修改explorer.exe，成功后删除文件7.tmp。

5.释放新木马病毒c:\temp\c.tmp并运行（文件名随机），创建bat文件删除自身。