病毒大百科

这是一个木马下载器。它能够利用AUTO技术进行自动传播，并且由于它把一些关键代码放在新创建的系统文件进程中执行，更具有隐蔽性。另外，它还拥有对抗常见安全软件的能力。

这个病毒仍然利用了分区AutoRun目录驻留系统，用户双击如c盘等目录即自动运行。病毒吸取了如以前AV终结者等病毒的一些经验，但它把一些关键代码放在新创建的系统文件进程中执行，更具有隐蔽性。

1.病毒首先对其加密的字符串进行解密。

2.判断当前系统内是否存在常见安全软件的进程，如存在则试图利用TerminateProcess结束进程，针对的进程包括360rpt.exe,avp.exe,KRegEx.exe等。

3.修改注册表，不显示隐藏文件：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL,"CheckedValue"=0;
禁用任务管理器:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System，DisableTaskMgr=1
禁止windows自动更新功能：
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System，DisableWindowsUpdateAccess=1;

4.监视窗口，关闭含有指定关键词的窗口进程，如“杀毒”，“毒霸”，“IceSword”等。

5.释放病毒副本到%windir%\system32\weiai.exe,属性设置为隐藏,运行副本weiai.exe；

6.新创建进程svchost.exe，Iexplorer.exe，在这两个进程内运行代码；

7.映像劫持各类安全软件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\，并监视其下键值，发现被修改则改回。

8.访问地址http://88***63.com/www.txt读取下载列表,从中下载其它木马病毒执行；

9.在各分区目录下释放auto.inf和病毒副本文件。

10.创建自删除文件SiGou.bat,运行病毒源文件weiai.exe。