病毒大百科

    这是一个通过移动设备传播的蠕虫病毒。病毒运行后复制自身至系统文件夹，并在每个盘根目录下生成autorun.inf和病毒文件，并修改注册表以自启动。病毒会加载一个隐藏的进程，打开用户计算机后门，提供远程黑客控制。另外，还尝试关闭系统EVP和DEP功能。

1.病毒运行后复制自身至
%windir%\{病毒文件名}.exe
并在每个盘下生成
{盘符}:\autorun.inf
{盘符}:\gg.exe

2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ctfmon.exe "%windir%\{病毒文件名}.exe"

3.修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden dword:00000001 dword:00000000

4.尝试修改boot.ini文件，将以下参数
/noexecute=optin
/noexecute=optout
改为
/NoExecute=AlwaysOff（相当于关闭系统EVP和DEP功能）

5.加载一个隐藏的进程，打开用户计算机后门，提供远程黑客控制，如控制系统MCI设备、收集计算机信息、关闭计算机、运行程序等