病毒大百科

这是一个蠕虫病毒。该病毒运行后，会立即从网络上下载大量的病毒。该病毒会关闭瑞星，金山，卡巴等杀毒软件。从远程服务器上下载邮件列表，发送带病毒的附件。发送大量的网络数据包阻塞网络。

病毒运行后

1、病毒运行后在任务管理器里能看到很多陌生的进程

2、释放文件
C:\WINDOWS\system32\fmifddem.dll
C:\WINDOWS\System32\fmifddem.exe
C:\WINDOWS\system32\ccfgmsti.dll
%WINDIR%\System32\fmifddem.dat
c:\windows\system32\e1.dll
c:\windows\ktme.wax 邮件列表文件

3、下载文件
ktmcheck.exe
ktme.exe
还会下载大量的病毒文件，这里就不一一列举了

4、修改注册表

使fmifddem.dll随winlogon一起加载
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fmifddem]
"DllName"="C:\WINDOWS\system32\fmifddem.dll"
"Startup"="WlxStartupEvent"
"Shutdown"="WlxShutdownEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

5、关闭金山，瑞星，NOD32，卡巴， MacFee等一些知名的杀毒软件

6、使ccfgmsti.dll随windows启动注入所有进程
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=" ccfgmsti.dll"

7、安装WH_CBT挂钩
监视用户操作

8、搜索用户机器上的email地址和yahoo.com邮件服务器上的邮件地址，
并向这些地址发送包含病毒文件的附件