本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.程序运行后，生成文件 %system32%Security.exe 2.病毒修改注册表键值： 项：HKLMSYSTEMCurrentControlSetServicesPrivilege 键值：DisplayName

行为分析：
这是一个木马下载风险程序。它主要通过网页木马、文件捆绑、移动存储介质方式传播。木马的图标会伪装成Windows默认的可执行文件图标，扩展名为exe，骗过用户的注意或诱惑用户点击。

描述：
1.程序运行后，生成文件

%system32%Security.exe







2.病毒修改注册表键值：

项：HKLMSYSTEMCurrentControlSetServicesPrivilege

键值：DisplayName

指向数据：Performance Logs and Ale

项：HKLMSYSTEMCurrentControlSetServicesPrivilege

键值：ImagePath

指向文件：％systemroot％system32Security.exe

项：HKLMSYSTEMCurrentControlSetServicesPrivilege

键值：Description

指向数据：Intel Registry Service

项：HKLMSYSTEMCurrentControlSetServicesPrivilege

键值：Start

指向数据：02





3.木马执行后，检测%system32%drivers目录下是否存在驱动文件klif.sys，如果存在则以命令行的方式修改系统时间，使部分杀毒软件不能正常使用；

拷贝自身到system32目录下，重命名为Security.exe，修改文件属性为隐藏、系统；用SCM写注册表项将Security.exe注册成名为Privilege的服务，

通过使用相关函数启动被注册的服务；通过相关API函数运行Security.exe；



4.Security.exe运行后，开启一线程关闭“IE 执行保护”与“瑞星卡卡上网安全助手 - IE防漏墙”的安全提示；开启一IEXPLORE.EXE进程,申请内存空间将

病毒一部分代码写入，并通过相关函数激活病毒代码进行代码注入逃避杀毒软件的查杀，并访问恶意网站下载其它病毒程序并运行；遍历盘符在移动存储介质中

释放隐藏病毒文件和autorun.inf，使用Windows自动播放功能来传播病毒；以批处理的方式将病毒原文件删除。