本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.病毒运行时将自身拷贝至%SYSTEM32%Driverssuchost.exe，修改注册表 HKCUSoftwareMicrosoftWindowsCurrentVersionRun作为其启动项。并修改

行为分析：
这个病毒是黑客木马程序。它通过感染exe格式文件来进行传播，如果发作，就会关闭许多常见安全软件的进程，然后连接病毒作者指定的远程地址。

描述：
1.病毒运行时将自身拷贝至%SYSTEM32%Driverssuchost.exe，修改注册表

HKCUSoftwareMicrosoftWindowsCurrentVersionRun作为其启动项。并修改

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue以隐藏文件



2.病毒启动感染线程，感染时，病毒将正常文件附加在文件末尾，执行时恢复原始文件并执行。同时，病毒在每个文件夹内创建文件Desktop_.ini,内容为当天日期。



3.病毒尝试删除以下注册表键:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunkav

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunAVP



4.病毒尝试删除以下服务:

kavsvc

McShield

McTaskManager

McAfeeFramework

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

FireSvc



5.病毒尝试关闭如下标题的窗口:

VirusScan

NOD32

Symantec AntiVirus

System Safety Monitor

System Repair Engineer

msctls_statusbar32

pjf(ustc)

IceSword



6.病毒尝试终止如下进程:

Mcshield.exe

VsTskMgr.exe

naPrdMgr.exe

UpdaterUI.exe

TBMon.exe

scan32.exe



7.病毒尝试下载http://www.d***g**.com/__/___列表文件并执行。(更新自身)



8.病毒调用WinExec删除共享(cmd.exe /c net share admin$ /del /y)



9.病毒修改注册表HKCRHTTPshellopencommand为"C:Program FilesInternetExploreriexplore.exe" -nohome，并在后台启动并访问www.d****_8.com/d_**/tj/m__.asp?m___。