病毒大百科

这是一个下载者木马，它采用覆盖感染的方式感染系统explorer.exe文件以达到随系统启动而启动，并将“Windows文件保护”的对话框窗口隐藏起来。它还会修改系统时间，使依赖系统时间进行激活和升级得杀毒软件失效。

1.程序运行之后会首先调用GetModuleFileNameA获取自己的完整路径以得到自身的文件名。
2.判断自己的文件名是否为下面几个文件中的一个
conime.exe，internat.exe，ctfmon.exe，explorer.exe
3.调用GetFileAttributes判断%systemRoot%\system32\dllcache中同名的文件是否存在，如果存在则调用WinExec将%systemRoot%\system32\dllcache中对应的程序调用启动。

4.创建线程，调用FindWindowA循环查找窗口。如果找到WindowsName为"Windows文件保护"，WindowsClass名为"#32770"的窗口则调用ShowWindow隐藏该窗口。

6.连接http://baidu****.com/list.txt下载一个文本，该文本为要下载的病毒列表
而后该程序会按照该列表中的网址下载病毒并运行。

7.根据自身版本号判断自己在网上是否有新版本，如果有新版本的话则下载并运行。