病毒大百科

这是一个通过MSN传播的蠕虫后门。该病毒用VB语言编写，如果进入用户电脑，会复制大量的副本到系统内，同时在注册表内添加多个启动项确保自身随系统启动。站稳脚跟后建立后门，为黑客入侵提供便捷。

1. 该病毒运行后释放大量的病毒副本到系统各目录中，具体如下：
%Windir%\dc.exe
%Windir%\Help\Other.exe
%Windir%\inf\Other.exe
%Windir%\SVIQ.EXE
%Windir%\system\Fun.exe
%System%\WinSit.exe
%System%\config\Win.exe
%System%\Penx.dat（空文件）
%System%\Xpen.dat（空文件）
如存在文件%Windir%\wininit.ini，在该文件中添加字符NUL=%Windir%\Help\Other.exe
，用于重启后删除%Windir%\Help\Other.exe。

2. 为下列文件新建进程：
%Windir%\system\fun.exe
%Windir%\sviq.exe
%Windir%\dc.exe

3. 新建注册表如下项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，
dc2k5 = "%Windir%\SVIQ.EXE
Fun = "%Windir%\system\Fun.exe
dc = "%Windir%\dc.exe
SVIQ.EXE，Fun.exe，dc.exe随系统启动。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = "%System%\config\Win.exe

修改如下注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe %System%\WinSit.exe
WinSit.exe随系统启动。
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load = "%Windir%\inf\Other.exe
Other.exe随系统启动。

4. 系统如下端口连接指定地址
1042 TCP Fun.exe (%Windir%\system\Fun.exe)
1043 UDP Fun.exe (%Windir%\system\Fun.exe)
连接地址http://www.*******.cn/tIyn***jhg/pasnt.asp（1*2.*.2.*），端口80。本地端口号在一定范围内随机。

5．病毒监视系统内MSN运行情况，向MSN好友发送病毒副本传播自身。