病毒大百科

这是一个机器狗下载器的变种。它能够穿透系统还原，下载大量的木马。为迷惑用户，它会给自己的进程采用系统托盘区拼音输入法的图标。

该病毒会感染系统文件，穿还原系统，下载大量病毒木马。
1． 释放%SystemRoot%\ctfmon.exe，并运行。
2． 释放的ctfmon.exe会下载病毒列表到c:\tmp.dat,下载里面病毒到%SystemRoot%\system32\c(*).exe(*为从0开始)，下载一个运行一个。
3． 创建c:\ emsf.bat,删除自己。
4. 判断当前进程里是否存在BKPCLIENT.EXE和MENU.EXE2个进程，它们属于某磁盘保护工具的进程，如不存在以上两个进程，就释放驱动，尝试穿透别的还原系统。
5． 创建%SystemRoot%\system32\drivers\Phyhd.sys，并创建HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Phyhd 项，并启动后删除Phyhd.sys。
6． 释放c:\ Upack.exe，把explorer.exe复制到c:\ tempdat.dat,创建emsf1.bat，为tempdat.dat加壳。
7． 把ctfmon.exe和tempdat.dat捆绑数据写入到explorer.exe的第一簇。
8． 创建c:\emsf3.bat，删除自己。