本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
该病毒破坏隐藏和安全模式，删除其他病毒，下载其他病毒，感染每个驱动器，并双进程守护。 1． 解密字符串解出下载地址和病毒名

行为分析：
这是一个可利用AUTO技术进行快速传播的下载器程序。它会劫持多款安全软件，并且黑吃黑，删除其它病毒文件。该毒还会破坏系统安全模式，试图阻止用户手动查杀。

描述：
该病毒破坏隐藏和安全模式，删除其他病毒，下载其他病毒，感染每个驱动器，并双进程守护。

1． 解密字符串解出下载地址和病毒名

http://www.xxxxx.cn/images/ReadDown.txt （失效）

http://www.xxxxx.cn/(*).exe 1~10 （失效）

"lmqgcfx"

"fioyitf"

"bmjtyxh"

"nuwqpgi"

2． 比较（C~Z盘） 是不是 盘符:FIOYITF.EXE 是了explorer.exe 盘符打开驱动器，然后FindWindowA 我的电脑 我的電腦 My Computer 发送WM_CLOSE关闭。

3． 调用SC将"wscsvc" "helpsvc" "wuauserv" "SharedAccess"关闭。

4． 对比当前打开路径是不是

C:Program FilesCommon FilesMicrosoft Shared
uwqpgi.exe

C:Program FilesCommon FilesSystemmjtyxh.exe

不是则删除上面2个文件，将当前运行的程序复制到上面2个位置。将注册表中HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun lmqgcfx和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionRun fioyitf删除，运行"C:Program FilesCommon FilesSystemmjtyxh.exe"和"C:Program FilesCommon FilesMicrosoft Shared
uwqpgi.exe"

5． 比较（C~Z盘） 是不是 盘符:FIOYITF.EXE 不是调用C:WINDOWSsystem32 cmd.exe /c del 当前运行文件路径 删除。

6． FindWindow "Shell_TrayWnd"找不到病毒退出。

7． 线程执行会判断进程中有没有avp.exe有了用SetLocalTime修改时间为2005年11月15日

8． 添加启动项，删除"C:Program Files（*）.hiv " *为1和2 将RUN启动项里的内容保存到1.hiv 2.hiv中。在HKEY_CURRENT_USERSoftware下创建一个4为随机名,将hiv里的内容导入。

9． 镜项劫持安全软件，指向"C:Program FilesCommon FilesMicrosoft Shared
uwqpgi.exe"

10． 删除AVP和KVMON的RUN启动键值。

11． 修改隐藏键值和破坏安全模式

12． 将其他病毒MoveFile到一个随机+编号的名字。

13． 执行"cmd /c echo Y| cacls C:Program Filesdld.dat /t /g everyone:F" 对dld.dat提权。dld.dat文件不是本样本释放。

14． 对比当前进程中有没有TASKMGR.EXE有了TerminateProcess结束掉

15． FindWindow 发现含有安全软件名称的字符和自身病毒名的关闭窗口

16． 创建lmqgcfx.inf文件，复制到C:Program FilesCommon FilesMicrosoft Sharedlmqgcfx.inf

C:Program FilesCommon FilesSystemlmqgcfx.inf 和每个盘符下的autorun.inf

将自身复制到每个盘符下fioyitf.exe文件。

17． 将自身复制到C:Program Filesmeex.exe文件并运行。

18． 下载

http://www.xxxxx.cn/images/ReadDown.txt （失效）

http://www.xxxxx.cn/(*).exe 1~10 （失效）

并运行病毒。