病毒大百科

这是个感染型的蠕虫病毒。它会感染所有的.exe、.scr、.htm、.html格式文件，如果用户将含毒文件用邮件发送出去，病毒无需收信人主动打开即可自动执行。另外，此毒还会感染局域网中的其它正常电脑。

1.通过k32.dll基址获得导出API。

2.拷贝自身到C:\windows\system32\runouce.exe

3.写入注册表自启动HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名：Runonce
键值："C:\WINDOWS\system32\runouce.exe"

4.查找最顶层的窗口句柄，对这个窗口进行注入，注入代码守护runouce.exe进程，发现没有就启动这个进程。

5.开启一个线程，这个线程守护注册表run键，一旦变化就更改回来。

6.扫描本地驱动器，跳过C:\windows目录。感染后缀名为exe文件和scr文件还有和htm和html文件。
对exe文件和scr文件直接写在原文件的尾部，如果没有空隙就自己添加空间，更改入口。

7.感染html文件,写入一个readme.eml的文件，
在html文件尾添加一段
window.open
("readme.eml", null,"resizable=no,top=6000,left=6000")
这是利用一个可以影响运行Microsoft Internet Explorer 5.01 和 5.5的漏洞。
此漏洞使得邮件附件无需用户主动打开即可自动执行。携带的病毒附件被标记为audio/x-wav类型。因此默认的音频文件播放器将被用于尝试打开该附件，附件保存在readme.eml文件中。

8.枚举网络资源，通过局域网的共享资源来传播自身。

9.执行net send * my god!some one killed chinesehacker-2 monitor 进行局域网广播。