本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.样本msns*.dll 先设置钩子注入explorer.exe。

行为分析：
这是个广告木马。它会劫持系统文件，然后频繁弹出广告页面。该毒还具有自我更新功能。

描述：
1.样本msns*.dll 先设置钩子注入explorer.exe。

2.下载读取http://www.X***XXX.net/bo/update.ini更新配置文件，下载里面的病毒更新程序http://www.X**X.cn/news/BO1011.exe到Temp目录。

3.会弹出http://unions.X***XXX.net/softConfig_new.jsp?userID=%userID%&validationID=%validationID%&agentID=%agentID%&version=%version%&visitCount=%visitCount%&existTime=%existTime%广告。

4.遍历RUN键值下的所有项，并以其名字建立映像劫持。

5.建立计划任务%windir%TasksMsUpdateTask.job，每个3分钟运行一次。

6.更新程序BO1011.exe，会释放%temp%
sz[*].tmpBackOperHelper.dll文件([*]为数字，从1开始往上加).

7.BackOperHelper.dll会算出随机字符连接到msns后,连接成msns*.dll的确定文件名。

8.BO1011.exe会将msns*.dll释放资源到%windir%下。

9.BO1011.exe释放fanti.sys和regti.sys两个驱动到%windir%下

10.BackOperHelper.dll将%windir%下的fanti.sys和regti.sys两个驱动复制到%windir%system32drivers下，并创建相应的服务。

11.fanti.sys，regti.sys会获取驱动启动信息进行对比，出现错误写入%windir%system32
egti.LOG

12.msns*.dll创建HKLMSOFTWAREMicrosoftService里面写入中毒的时间。

13.msns*.dll创建HKLMSYSTEMCurrentControlSetServicesReservefile键值，将自己路径写入。