病毒大百科

这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中，执行秘密下载。同时，该木马会试图关闭系统自带的错误报告系统和部分杀毒软件，防止用户对它进行查杀。

1. 关闭系统错误报告服务(ERSvc)：

　　　　修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting的DoReport,ShowUI,ReportBootOk
　　　　键为0

2.修改注册表项，隐藏文件
　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
　　　　Explorer\Advanced\Folder\Hidden\SHOWALL
　　　　键值："CheckedValue"=dword:00000000

3.修改日期：

　　　　修改系统日期为 2005 年。

4.创建c:\autorun.inf 文件。

　　　　[AutoRun]
　　　　open=auto.exe
　　　　shellexecute=auto.exe
　　　　shell\Auto\command=auto.exe

5.修改注册表,新建服务,并以服务的方式达到随机启动的目的：

　　　　HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\dd33gsd2
　　　　键值 : 字串 : "ImagePath"="C:\WINDOWS\system32\dd33gsd2.exe -k"

　　　　服务名称： dd33gsd2
　　　　显示名称： dd33gsd2
　　　　描述： dd33gsd2
　　　　可执行文件的路径： C:\WINDOWS\system32\dd33gsd2.exe
　　　　启动方式：自动

6.查找对话框窗口，判断窗口类是否为"Button"，窗口名为"是(&Y)",如果是则向该窗口发送左键按下消息，以关闭该窗口

7.查找是否存在KAVStart进程，如果存在则向其"操作"菜单发送"退出"命令。

8.从http://al**a.ve**nx.cn/update.txt下载木马地址列表。该列表包含了木马程序的下载地址信息。