本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.先释放ph[随机字符].bmp到%windir%system32下 2.将自身复制到%windir%system32下的lph[随机字符].exe ，删除自己

行为分析：
这是个经过伪装的木马下载器。它利用电脑用户对于屏保退出的方法不熟悉，以及用户们对安全的渴望，在电脑中伪造系统崩溃现象，欺骗用户下载一个所谓的“杀毒软件”。

描述：
1.先释放ph[随机字符].bmp到%windir%system32下

2.将自身复制到%windir%system32下的lph[随机字符].exe ，删除自己

3.释放blph[随机字符].scr到%windir%system32下

4.在注册表中创建

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"lph[随机字母]" = "%windir%system32lph[随机字母].exe"

5.释放C:DOCUME~1ADMINI~1LOCALS~1Temp.tt[随机数字].tmp.vbs (开启系统还原)

6.修改注册表的桌面和屏保设置

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSystemRestore"DisableSR" = "0" (开启系统还原)

HKEY_CURRENT_USERControl PanelColors"Background" = "0 0 255" (背景改成蓝色)

HKEY_CURRENT_USERControl PanelDesktop"ScreenSaveActive" = "1"

HKEY_CURRENT_USERControl PanelDesktop"TileWallpaper" = "0"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftSoftware Notifier"InstallationID" = "906b1f2d-66b5-439e-8c02-9d08858fe527"

HKEY_CURRENT_USERControl PanelDesktop"ConvertedWallpaper" = "%windir%ph[随机字母].bmp"

HKEY_CURRENT_USERControl PanelDesktop"SCRNSAVE.EXE" = "%windir%lph[随机字母].scr"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoDispBackgroundPage" = "0"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem"NoDispScrSavPage" = "0"

HKEY_CURRENT_USERSoftwareSysinternalsBluescreen Screen Saver"EULAAccepted" = "1"

(Bluescreen Screen Saver屏保产生的一个键值,该屏保模拟Windows系统的蓝屏死机现象)

7.连接"http://xxxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"

"http://xxxxxxxxx.com/images/1216345888/ee5b8c4ab13c6a794865487ec3d65dd0/6332a675-07cc-4d5b-bf4"

下载伪杀毒软件(链接失效)