病毒大百科

这是一个下载者木马变种。病毒执行后会判断操作系统版本，释放相应病毒文件至系统文件夹。它会替换xp系统的防火墙驱动，并删除自身文件以避免被用户发现。另外，病毒还会在后台悄悄下载更多的病毒程序安装至本地计算机。

(1)释放文件
%sys32dir%\drivers\runtime.sys
%sys32dir%\DRIVERS\Ip6Fw.sys
%sys32dir%\0_exception.nl
%sys32dir%\drivers\netdtect.sys（系统为windows 2000）

(2)生成注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IP6FW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUNTIME
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ip6Fw

(3)病毒尝试生成两个系统服务
a/runtime服务
描述：无
显示名称：无
启动类型：手动
映像路径：%sys32dir%\drivers\runtime.sys
通过修改ZwOpenFile系统服务的地址实现文件隐藏(这是一个隐藏的驱动文件)

b/Ip6Fw服务
描述：为家庭和小型办公网络提供入侵保护服务。
显示名称：IPv6 Windows Firewall Driver
启动类型：手动
映像路径：system32\DRIVERS\Ip6Fw.sys
此文件主要用于替换xp系统的防火墙驱动

(4)病毒会在后台加载一个隐藏的IEXPLORE.EXE进程，在后台下载病毒程序安装