病毒大百科

这个病毒是黑客木马程序。它通过感染exe格式文件来进行传播，如果发作，就会关闭许多常见安全软件的进程，然后连接病毒作者指定的远程地址。

1.病毒运行时将自身拷贝至%SYSTEM32%\Drivers\suchost.exe，修改注册表
HKCU\Software\Microsoft\Windows\CurrentVersion\Run作为其启动项。并修改
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue以隐藏文件

2.病毒启动感染线程，感染时，病毒将正常文件附加在文件末尾，执行时恢复原始文件并执行。同时，病毒在每个文件夹内创建文件Desktop_.ini,内容为当天日期。

3.病毒尝试删除以下注册表键:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP

4.病毒尝试删除以下服务:
kavsvc
McShield
McTaskManager
McAfeeFramework
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

5.病毒尝试关闭如下标题的窗口:
VirusScan
NOD32
Symantec AntiVirus
System Safety Monitor
System Repair Engineer
msctls_statusbar32
pjf(ustc)
IceSword

6.病毒尝试终止如下进程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe

7.病毒尝试下载http://www.d***g**.com/__/___列表文件并执行。(更新自身)

8.病毒调用WinExec删除共享(cmd.exe /c net share admin$ /del /y)

9.病毒修改注册表HKCR\HTTP\shell\open\command为"C:\Program Files\InternetExplorer\iexplore.exe" -nohome，并在后台启动并访问www.d****_8.com/d_**/tj/m__.asp?m___。