据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“VB蠕虫变种NH(Worm.Win32.VB.nh)”病毒。该病毒会把自己隐藏到磁盘的“回收站（recycled）”中，借以逃避杀毒软件的追杀。同时，该病毒使用了进程守护技术，很难被彻底清除。

本日热门病毒：

“VB蠕虫变种NH (Worm.Win32.VB. nh)”病毒：警惕程度★★★，蠕虫病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    该木马运行后，把自己命名为SVCHOST.EXE，复制到 C:\RECYCLED\目录，借以隐藏自身。病毒使用多个进程相互守护.并不断的回写注册表的多个键值，达到隐藏自己的目的，很难彻底清除，给用户带来较大安全风险。

　　“伪装下载器27648”（Win32.TrojDownloader.Agent.g.27648），这是一个木马下载器程序。它会修改注册表实现自动运行，如果成功运行起来后，就会从指定的地址下载15个其它木马病毒并运行。

　　“办公室伪装者394240”（Win32.TrojDownloader.Banload.394240），这是个具有伪装性的木马下载器。它给采用MS OFFICE办公软件的word图标，伪装成word主程序，欺骗用户。

　　一、“伪装下载器27648”（Win32.TrojDownloader.Agent.g.27648） 威胁级别：★★

　　该病毒进入系统后，会首先把自身复制到系统盘%WINDOWS%\system32\目录下，改名为liveupdate.exe，同时复制系统中的文件URLMON.DLL，将它改名为lo.dll，也放到%WINDOWS%\system32\目录下。这里需要注意的是，liveupdate.exe这个文件名，乍一看，会以为是系统的升级文件，看来病毒作者是试图以此来蒙骗用户。

　　当病毒成功地将liveupdate.exe加入系统注册表，实现开机自启动后，它就会在用户无法知晓的情况下连接病毒作者指定的地址http://www.l***own.com.cn/img，下载以logo1~15命名的.exe格式文件。

　　经毒霸反病毒工程师检查发现，这些文件都是盗号木马程序，它们的盗号目标是各类热门网游和即时聊天工具。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-agent-g-27648-50613.html

　　二、“办公室伪装者394240”（Win32.TrojDownloader.Banload.394240） 威胁级别：★

　　此病毒为一个木马下载器，它的狡猾之处在于，它会采用微软 OFFICE办公软件中的word图标，伪装成word主程序欺骗用户忽略它。

　　病毒进入电脑后，复制自身到c:\Documents~1\Administrator\[开始]菜单\程序\启动\word.exe，以及c:\Documents~1\new\[开始]菜单\程序\启动\word.exe目录下，同时修改系统注册表中的相关数据，使病毒可以随系统启动。

　　接着，从E盘开始到I盘，病毒在系统各分区下释放病毒副本，毒霸反病毒工程师判断，这是它在试图建立AUTO文件。但由于技术原因，或者病毒作者的粗心，AUTO文件没能建立。

　　最后，病毒在后台悄悄连接多个挂马网页，下载大量木马文件到用户电脑上执行，引发更多无法估计的安全事件。

病毒名称
Trojan-PSW.Win32.OL-Game.vpw
捕获时间
2008-05-19
病毒摘要
　　该样本是使用VC编写的盗号程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描，长度为19,216字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑传播，病毒主要盗取网游“风火之旅”的帐号和密码以及其他私人信息。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-PSW.Win32.OL-Game.vpw”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

病毒分析
　　该样本程序被执行后，拷贝自身到%SystemRoot%目录下,重命名为“fmsbbqi.exe”，在%SystemRoot%\system32目录下释放动态库“fmsbbqi.dll”；修改如下注册表健值达到随机自启动的目的；遍历进程查找“explorer.exe”，申请内存空间将动态库“fmsbbqi.dll”写入，通过远程线程激活病毒代码进行代码注入试图逃避杀毒软件查杀；
  Quote:
项:HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RUN\
健值:fmsbbqi
指向数据:%SystemRoot%\fmsbbqi.exe
　　“fmsbbqi.dll”加载运行后，病毒试图以全局挂钩的形式将动态库“fmsbbqi.dll”注入到所有进程中；枚举窗口查找网络游戏风火之旅“fjlogin.exe”的登录窗口，通过读写其内存获取网游的帐号和密码以及其他私人信息，通过HTTP协议将木马所截获信息发送到盗号者收信空间中。

　　据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“灰鸽子变种BEK（Backdoor.Win32.Gpigeon2007.bek）”病毒。该病毒通过网络传播，病毒会偷窃用户隐私信息，还可能远程控制用户计算机，给用户计算机安全带来极大危害。

本日热门病毒：

“灰鸽子变种BEK（Backdoor.Win32.Gpigeon2007. bek）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

病毒名称
Backdoor.Win32.Delf.dfk
捕获时间
2008-05-21
病毒摘要
    该木马是使用VC编写的后门程序，由微点主动防御软件自动捕获，程序未加壳，长度为40,448字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑传播，病毒主要作为入侵他人操作系统的后门使用。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Backdoor.Win32.Delf.dfk”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

病毒分析
　　该样本程序被执行后，拷贝自身到%SystemRoot%目录下，重命名为system32*.exe；调用SCM写注册表，将病毒拷贝system32*.exe注册成名为“pangupan”的服务，使用相关API函数启动被注册的服务；以命令行的方式将病毒原文件删除；
  Quote:
项：HKLM\SYSTEM\CurrentControlSet\Services\pangupan\
键值：DisplayName
指向数据： Provisioning Transaction Service
键值：ImagePath
指向文件：%SystemRoot%\system32*.exe
键值：Description
指向数据：客户端和服务器之间的 NET SEND 和 Alerter 服务消息。此服务与 Windows Messenger 无关。如果服务停止，Alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
键值：Start
指向数据：02
　　服务主程序运行后，通过相关API函数从网络空间“fackyou5.3322.org”上读取后门种植者所设置的IP地址和端口号进行反向连接，连接成功后使用API函数开启多个线程与黑客进行通讯，接受黑客的控制，使被病毒感染主机伦为傀儡主机。

病毒名称
Trojan-PSW.Win32.OL-Game.xnh
捕获时间
2008-05-22
病毒摘要
    该木马是使用VC编写的盗号程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描，长度为16,656字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑方式传播，病毒主要盗取网游的帐号和密码以及其他私人信息。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-PSW.Win32.OL-Game.xnh”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

病毒分析
    该木马程序被执行后，拷贝自身到%systemroot%目录下,重命名为“isndntio.exe”；在目录%systemroot%\system32下释放动态库“isndntio.dll”；遍历进程查找“explorer.exe”，申请内存将动态库“isndntio.dll”写入，并通过远程线程函数激活病毒代码进行代码注入；修改注册表自启动项以达到随系统启动的目的；以批处理的形式将病毒原文件删除；
  Quote:
项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
健值：hefcndy
指向数据：%systemroot%\isndntio.exe
“isndntio.dll”加载运行后，病毒试图以全局挂钩的形式将动态库“isndntio.dll”注入到所有进程中；枚举窗口查找网络游戏“MapleStory.exe”的登录窗口，通过读取其内存获取网游的帐号和密码以及其他私人信息，通过HTTP协议将木马所截获信息发送到盗号者收信空间中。

病毒名称
Trojan-Downloader.Win32.EDog.ad
捕获时间
2008-05-23
病毒摘要
    该木马是使用MFC编写的可以穿透还原保护类型的下载者程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描,加壳后长度23,072字节，图标为

，使用 exe扩展名，通过网页木马、其他下载器下载的方式传播，主要针对安装有还原系统的网吧进行攻击，攻击成功后自动下载多种盗号木马窃取网游玩家的用户密码信息。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、下载器下载
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.EDog.ad”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

病毒分析
  样本主程序分析
动作一：
该样本程序被执行后，查找自身资源名为“65”的资源，该资源为一个动态链接库文件，读取后将其释放到%temp%目录下命名为“dat**.tmp”并加载到自身进程空间。
动作二：
提升自身进程权限为“SeDebugPrivilege”，遍历进程及其线程查找“DrvAnti.exe”，如果找到使用TerminateThread强行将其主线程结束后，查找所释放模块“dat**.tmp”资源名为“66”的资源，该资源为一个驱动文件，读取后将其释放到%temp%目录下命名为dat**.tmp；调用ZwQuerySystemInformation查询系统模块信息检索“classpnp.sys”、“stpdrive.sys”、“ntfs.sys”、“fastfat.sys”、“ntoskrnl.exe”、“NTKRNLPA.exe”、“atapi.sys”、“ntkrpamp.exe”、“ntkrnlmp.exe”并确认以上模块映像是否存在，判断系统硬件环境以及文件系统环境。
动作三：
将系统正常的“beep.sys”拷贝到“%SystemRoot%\system32\dllcache”目录下破坏其他木马在“beep.sys”这个驱动上面所做的手脚，之后将“beep”服务停止，拷贝木马所释放的驱动文件覆盖正常的“beep.sys”，调用API函数StartServiceA再次启动服务。
动作四：
获取系统目录分别查找系统文件services.exe、cdfview.dll，打开物理磁盘“\Device\Harddisk0\DR0”，读取文件检测自身是否遭到感染，如果未感染获取其物理扇区地址，通过驱动解除还原软件的Object Hook，创建文件映射在内存中将以上两文件感染，被感染文件分析见下文，感染之后恢复Object Hook，达到突破还原的目的。
动作五：
提升自身进程权限为“SeDebugPrivilege”，遍历进程查找Winlogon.exe，找到后进行注入，如果无法进行注入则注入explorer.exe进程，注入的代码被执行后载入病毒所释放的动态链接库文件，再次执行以上动作。
动作六：
读取下载列表http://z1.**-kk.net/333.txt，下载多种盗号木马到本地执行。
被感染的Services.exe分析：
小提示：Services.exe为Windows核心进程，由Winlogon.exe进程加载，用于加载并初始化Win32环境下的服务程序，并负责服务管理及其调用。
被感染的Services.exe导入表被添加一条函数“HttpUddUrl”，文件大小不变。当该文件被Winlogon.exe启动后会调用被病毒所修改“cdfview.dll”中的“HttpUddUrl”函数执行，并保持系统原有功能不变。
被感染的cdfview.dll分析：
该文件是被病毒以首字节覆盖的方式感染的，感染文件大小不变，但正常系统功能调用已经被破坏。完成功能同病毒释放的动态链接库文件，经过Upack加壳方式压缩，共导出两条函数“HttpAddUrl”、“InitHttp”：
HttpAddUrl功能同主体文件分析“动作二”开始执行
InitHttp功能同主体文件分析“动作五”开始执行

5月25日病毒预报--机器狗变种Trojan-Downloader.Win32.EDog.af

病毒名称
Trojan-Downloader.Win32.EDog.af
捕获时间
2008-05-24
病毒摘要
    该木马是使用VC编写的可以穿透还原保护类型的下载者程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描,加壳后长度25,213字节，图标为

，使用 exe扩展名，通过网页木马、其他下载器下载的方式传播，主要针对安装有还原系统的网吧进行攻击，攻击成功后自动下载多种盗号木马窃取网游玩家的用户密码信息。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、下载器下载
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“可疑程序”，请直接选择删除处理（如图1）；


　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Trojan-Downloader.Win32.EDog.af”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。

病毒分析
样本主程序分析
动作一：
该样本程序被执行后，查找自身资源名为“65”的资源，该资源为一个动态链接库文件，读取后将其释放到%temp%目录下命名为“dat*.tmp”并加载到自身进程空间。
动作二：
提升自身进程权限为“SeDebugPrivilege”，遍历进程及其线程查找“DrvAnti.exe”，如果找到使用TerminateThread强制关闭驱动防火墙 DrvAnti.exe主线程，查找所释放模块“dat*.tmp”资源名为“66”的资源，该资源为一个驱动文件，读取后将其释放到%temp%目录下命名为“dat#.tmp”；调用ZwQuerySystemInformation查询系统模块信息检索“classpnp.sys”、“stpdrive.sys”、“ntfs.sys”、“ntkrpamp.exe”、“fastfat.sys”、“ntoskrnl.exe”、“NTKRNLPA.exe”、“atapi.sys”、“ntkrpamp.exe”、“ntkrnlmp.exe”并确认以上模块映像是否存在，判断系统硬件环境以及文件系统环境。
动作三：
将%SystemRoot%\system32\drivers目录下的“beep.sys”拷贝到“%SystemRoot%\system32\dllcache”目录下，之后将“beep”服务停止，拷贝木马所释放的驱动文件“dat#.tmp”覆盖%SystemRoot%\system32\drivers目录下的“beep.sys”，调用API函数StartServiceA再次启动服务。
动作四：
获取系统目录分别查找系统文件services.exe、cdfview.dll，打开物理磁盘“\Device\Harddisk0\DR0”，读取文件检测自身是否遭到感染，如果未感染获取其物理扇区地址，通过驱动解除还原软件：“\\Driver\\DeepFrz（冰点）”、“\\Driver\\snpshot（影子系统）”、“\\Driver\\YzIdiot（还原精灵）”、“\\Driver\\newarch（未知设备）”的Object Hook，创建文件映射到内存中将以上两文件感染，被感染文件分析见下文，感染之后恢复Object Hook，达到突破还原的目的。
动作五：
把病毒当前执行路径保存到注册表中。
项：HKLM\software\microsoft\windows\currentversion\explorer\desktop\
健值：sysfile
指向数据：病毒当前执行路径
动作六：
提升自身进程权限为“SeDebugPrivilege”，遍历进程查找Winlogon.exe。找到后进行注入，如果注入成功则使注入的代码被执行后载入病毒所释放的动态链接库文件，再次执行以上动作，否则遍历进程查找explorer.exe，找到后进行注入，并执行动态链接库文件，再次执行以上动作。
动作七：
读取下载列表http://g.jt**.com/ms.txt下载多种盗号木马到本地执行。
被感染的Services.exe分析：
小提示：Services.exe为Windows核心进程，系统服务管理器进程，在系统登陆前由Winlogon.exe进程加载，用于加载并初始化Win32环境下的服务程序，并负责服务管理及其调用。无论是杀毒软件还是主动防御的主服务进程都是由次此文件进行初始化的，一旦此文件被恶意感染或修改就会抢先于杀毒软件或主动防御软件启动，所以有效的防范此类病毒才可以使系统更安全。
被感染的Services.exe导入表中添加一个函数“HttpUddUrl”，文件大小不变。当该文件被Winlogon.exe启动后，会调用被病毒所修改“cdfview.dll”中的“HttpUddUrl”函数。
被感染的cdfview.dll分析：
该文件是被病毒以首字节覆盖的方式感染的，感染文件大小不变，但正常系统功能调用已经被破坏。完成功能同病毒释放的动态链接库文件，经过Upack加壳方式压缩，共导出三条函数“HttpAddUrl”、“InitHttp”、“ReadHttp”：
HttpAddUrl功能同主体文件分析“动作二”开始执行
InitHttp功能同主体文件分析“动作六”开始执行
ReadHttp功能同主体文件分析“动作五”开始执行

   据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“安德夫木马变种GLM（Trojan.Win32.Undef.glm）”病毒。该病毒通过网络传播，病毒会从黑客指定网站下载各种木马、病毒等恶意程序，给用户计算机安全带来威胁。

本日热门病毒：

“安德夫木马变种GLM（Trojan.Win32.Undef. glm）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“安德夫木马变种GVT（Trojan.Win32.Undef.gvt）”病毒。该病毒通过网络传播，病毒会从黑客指定网站下载各种木马、病毒等恶意程序，给用户计算机安全带来威胁。

本日热门病毒：

“安德夫木马变种GVT（Trojan.Win32.Undef. gvt）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

病毒名称
Backdoor.Win32.Ceckno.nt
捕获时间
2008-05-28
病毒摘要
    该样本是使用VC编写的后门程序，由微点主动防御软件自动捕获，采用FSG加壳方式试图躲避特征码扫描，加壳后长度为6,545字节，图标为

，样本扩展名为.exe，主要以网页木马、文件捆绑的方式传播，病毒主要被黑客种植于“肉鸡”作为后门使用。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Backdoor.Win32.Ceckno.nt”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。


病毒分析
　　该样本程序被激活后，拷贝自身到%SystemRoot%目录下，如果扩展名不为.exe或.EXE,则添加扩展名为.exe；判断服务AutoRemote是否存在，如果不存在调用SCM写注册表，将样本拷贝注册成名为AutoRemote的服务，使用相关API函数启动被注册的服务；
  Quote:
项：HKLM\SYSTEM\CurrentControlSet\Services\AutoRemote\
健值：DisplayName
指向数据：Remote Connection Access Auto Manager
健值：ImagePath
指向数据：%SystemRoot%\样本.exe"
健值：Description
指向数据：控制远程协助。如果此服务被终止，远程协助将不可用。终止此服务前，请参见“属性”对话框上的“依存”选项卡。
将%SystemRoot%\样本.exe名字写入到系统防火墙授权列表中，使%SystemRoot%\样本.exe访问网络时被系统防火墙自动放行；
  Quote:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
健值：%SystemRoot%\样本.exe
指向数据：%SystemRoot%\样本.exe:*:Enabled:Microsoft (R) Internetal IExplore
以命令行的方式将病毒原文件删除；
　　服务主程序运行后，使用相关API函数获取域名epzzh.3322.org的IP地址，并使用特定的端口号与黑客客户端进行反向连接，连接成功后使被入侵系统沦为傀儡主机接受黑客命令执行相应操作，命令如下：
a.“ATTACK”：如果被入侵系统服务端接受的是该命令，则用函数CreateThread建立线程，对指定的计算机实行攻击
b.“STOPATTACK”：如果被入侵系统服务端接受的是该命令，则停止攻击。
c.“DOWNLOAD”：如果被入侵系统服务端接受的是该命令，则使用API函数URLDownloadToFileA将命令中指定程序下载到本地%SystemRoot%\system32目录下，命名为win%ddows.exe（%d为随机数和时间计算出来的数字），之后用API函数WinExec运行win%ddows.exe。
d.“REMOVE”：如果被入侵系统服务端接受的是该命令，则使用API函数OpenSCManagerA打开系统服务管理器，用相关API函数关闭服务AutoRemote，接着用API函数DeleteService将该服务删除，之后服务进程退出。

   据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“线上游戏窃取者变种NPT (Trojan.PSW.Win32.GameOL. npt)”病毒。这是个偷取游戏密码的病毒，它会注入到系统Explorer.Exe进程中，查找游戏进程，窃取游戏密码后发送给黑客指定的网址。

本日热门病毒：

“线上游戏窃取者变种NPT (Trojan.PSW.Win32.GameOL. npt)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件ayTQQTQQ1011.exe和ayTQQTQQ1011.dll,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

　　“肉鸡猎人81920”（Win32.Troj.Downloader.vb.81920），这是一个木马下载器病毒。病毒为了隐藏自己，所取的病毒名描述信息都比较象系统正常信息。它除了会下载大量其它病毒外，还会严重破坏系统，关闭部分安全软件，映像劫持大量软件，并试图建立后门。

　　“栽赃专家319488”（Win32.Troj.Ceckno.319488），这是一个黑客后门软件。该木马能够远程控制用户的系统，将其变成代理服务器。

　　一、“肉鸡猎人81920”（Win32.Troj.Downloader.vb.81920）  威胁级别：★★

　　具有较强对抗能力的下载器又出现了。毒霸反病毒工程师在近日处理的病毒中，发现了一个可以严重破坏系统的下载器程序，它除了能够关闭安全软件，执行下载外，还会设法取得对用户电脑系统的完全控制权，试图将用户的电脑变成肉鸡。

　　病毒进入系统后，在系统盘中释放出大量的病毒文件，其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中，而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。

　　病毒修改注册表，以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持，使它们无法运行。病毒还试图劫持毒霸的进程，不过经检验无法成功。另外，它还会劫持系统的输入法模块和资源管理器，令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外，病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。

　　接着，病毒建立一个新的系统帐户，设法获得全部用户组的管理权限，让用户几乎完全无法操作电脑。在此之后，病毒就连接到病毒作者指定的远程地址，下载大量盗号木马到用户电脑中运行，把用户偷个一干二净。

　　偷完东西后，病毒不会就此停止运行。它会建立扫描程序，对用户系统的一些敏感端口进行扫描等行为，将用户电脑变成任由病毒作者（黑客）控制的“肉鸡”。并且，如果中毒电脑位于局域网中，病毒还会试图把自己传染到其它正常的电脑上，扩大自己的传染范围。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-vb-81920-50637.html

　　二、“栽赃专家319488”（Win32.Troj.Ceckno.319488）  威胁级别：★

　　病毒文件suchost.exe 被释放到系统盘的%WINDOWS%\system32\目录下，由于文件名与系统进程svchost.exe接近，容易骗过用户的注意。

　　当它修改系统注册表，实现开机自动运行后，便会在后台悄悄连接病毒作者指定的远程地址。通过此病毒建立的后门，病毒作者（黑客）可以轻松实现对用户系统的远程控制，在里面搜寻各种稀料，并将其变成代理服务器，用于攻击其它电脑时做跳转。当运行完毕后，病毒就删除自己的原始文件，消除作案的痕迹。

　　被作为代理服务器不是件好事，这意味着当黑客攻击完他人后，可以嫁祸给中毒的用户，给用户带来不必要的麻烦事。

  江民今日提醒您注意：在今天的病毒中TrojanDownloader.ConHook.km“假钩子”变种km和Trojan/PSW.Magania.chr“玛格尼亚”变种chr值得关注。

病毒名称：TrojanDownloader.ConHook.km
中 文 名：“假钩子”变种km
病毒长度：29312字节
病毒类型：木马下载器
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
TrojanDownloader.ConHook.km“假钩子”变种km是“假钩子”木马家族的最新成员之一，采用高级语言编写，并经过加壳处理。“假钩子”变种km是由其它病毒体释放出的DLL病毒组件，一般被注册为浏览器辅助插件（BHO），随IE浏览器启动而加载运行。“假钩子”变种km运行后，提升自身权限，强行关闭某些安全软件，大大降低了被感染计算机上的安全性。不定时弹出广告窗口，影响用户的正常使用。广告窗口可能带有谎报系统漏洞的信息，欺骗用户购买指定的“修复软件”，而“修复软件”很可能是会破坏计算机系统的恶意程序。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表并下载所有的恶意程序。其中，所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给被感染计算机用户带来不同程度的损失。另外，“假钩子”变种km还会收集用户计算机的系统类型、用户名、浏览器类型等基本信息，并将收集到的有效信息发送到骇客指定的远程服务器上，给用户带来损失。

病毒名称：Trojan/PSW.Magania.chr
中 文 名：“玛格尼亚”变种chr
病毒长度：121626字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Magania.chr“玛格尼亚”变种chr是“玛格尼亚”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“玛格尼亚”变种chr运行后，在“%SystemRoot%\help\”目录下释放“F3C74E3FA248.dll”组件。修改注册表，实现木马开机自动运行。采用HOOK技术和内存截取技术在被感染计算机的后台监视用户的键盘和鼠标操作，盗取《黄易群侠传》、《天堂Ⅱ》、《魔兽世界》等多款网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、游戏区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“玛格尼亚”变种chr还会下载更多的恶意程序、网游木马等，给网络游戏玩家带来非常大的损失。

 江民今日提醒您注意：在今天的病毒中Trojan/PSW.Agent.fql“代理木马”变种fql和Trojan/PSW.OnLineGames.tsh“网游窃贼”变种tsh值得关注。

病毒名称：Trojan/PSW.Agent.fql
中 文 名：“代理木马”变种fql
病毒长度：20480字节
病毒类型：木马
危险级别：★★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.Agent.fql“代理木马”变种fql是“代理木马”木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“代理木马”变种fql运行后，在临时文件夹下释放恶意DLL组件文件“*.tmp”；在“%SystemRoot%\system32\”目录下释放恶意DLL组件文件“HBKrnl.dll”；在“%SystemRoot%\system32\drivers\”目录下释放恶意驱动文件“hbkernel.sys”；在“%SystemRoot%\”目录下创建一个更新信息配置记录文件“Update.dat”。修改注册表，实现木马开机自动运行。在被感染计算机的后台调用系统“rundll32.exe”进程，迫使该进程调用恶意DLL组件文件“HBKrnl.dll”来执行恶意操作，以隐藏自我，防止被查杀。将“hbkernel.sys”注册为系统服务，用于还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避某些安全软件的防御和查杀的目的。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏《梦幻西游》玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。

病毒名称：Trojan/PSW.OnLineGames.tsh
中 文 名：“网游窃贼”变种tsh
病毒长度：12288字节
病毒类型：木马
危害等级：★
影响平台：Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.OnLineGames.tsh“网游窃贼”变种tsh是“网游窃贼”木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳保护处理。“网游窃贼”变种tsh运行后，自我插入到被感染计算机的系统“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK技术和内存截取等技术盗取网络游戏《新破天一剑》玩家的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《新破天一剑》游戏玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来不同程度的损失。

    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“下载器蠕虫变种HA（Worm.Win32.DownLoader. ha）”病毒。该病毒会访问黑客指定的网站下载数十个木马病毒，可能导致McAfee等安全软件无法正常运行，同时病毒会把自己复制到各个磁盘下，以感染u盘或其他移动存储设备，添加自动运行文件使得用户打开磁盘的同时运行病毒程序，阻止杀毒软件对其进行查杀，导致清除病毒困难。

本日热门病毒：

“下载器蠕虫变种HA（Worm.Win32.DownLoader. ha）”病毒：警惕程度★★★，蠕虫病毒，通过U盘等传播，依赖系统：Windows NT/2000/XP/2003。

    病毒运行后会把自己拷贝到System32路径下命名为thundet.exe和dllhos.exe（与迅雷和系统文件名相似），然后添加注册表项实现自启动，病毒会访问黑客指定的网站下载数十个木马病毒，同时还会感染脚本文件，在脚本文件的最后添加网址使得用户打开网页的同时下载病毒脚本，为了阻止安全类软件查杀该病毒，病毒还会添加注册表项实现映像劫持，导致360安全卫士和McAfee等安全软件无法正常运行，最后病毒会把自己复制到各个磁盘下，添加autorun.inf使得用户打开磁盘的同时运行病毒程序，以感染u盘或其他移动存储设备，使用户容易反复感染，很难彻底清除。

    据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“灰鸽子变种BJD（Backdoor.Win32.Gpigeon2007.bjd）”病毒。该病毒通过网络传播，病毒会偷窃用户隐私信息，还可能远程控制用户计算机，给用户计算机安全带来极大危害。

本日热门病毒：

“灰鸽子变种BJD（Backdoor.Win32.Gpigeon2007. bjd）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

    该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

　　“狐狸洞69712”（Win32.TrojDownloader.Small.69712），这是一个利用 Firefox 浏览器漏洞进行攻击的病毒。安装了Firefox的机器，在调用特定的协议处理器时存在命令注入漏洞，此病毒通过这一漏洞运行起来，帮助远程攻击者在用户机器上执行任意命令。

　　“网游盗号木马61440”（Win32.Troj.OnlineGameT.nc.61440），这是一个针对多款网络游戏的盗号木马。它会修改注册表实现自启动，然后盗取《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的帐号信息，并发送至指定的接收网址。

　　一、“狐狸洞69712”（Win32.TrojDownloader.Small.69712） 威胁级别：★★

　　从来都没有百分百安全的软件。只要一款软件产品有足够多的用户，病毒作者们便会专注地挖掘它的漏洞。Firefox 浏览器就是这样被病毒作者们盯上的。本篇预警播报中的病毒正是一个利用Firefox 浏览器漏洞进行攻击的恶意文件。

　　这个病毒进入系统后，会在系统中释放出两个随机命名的病毒文件，分别为%WINDOWS%\目录下的.exe格式文件和%Temporary Internet Files%\Content.IE5\C4DGV5NI\目录下的.cmt文件。并修改注册表启动项，实现开机自启动。

　　在安装有Firefox 的系统里，存在一些用于处理专用协议数据的协议处理器。如果上网时系统遇到了无法处理的数据，就会在Windows注册表中搜索适当的协议处理器，向其传送相关数据，实现处理。不过，由于在这个过程中不会有任何安全过滤，病毒便可以借机获得操作权限，向firefox.exe 进程指定任意参数。

　　此病毒会连接病毒作者指定的远程服务器，等待黑客的下一步指令。由于病毒已取得全部的操作权限，这意味着黑客将可以在用户电脑中执行任何他想要的操作。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-small-69712-50649.html

　　二、“网游盗号木马61440”（Win32.Troj.OnlineGameT.nc.61440） 威胁级别：★

　　此病毒属于一个比较老的木马家族，但它的变种一直层出不穷。此篇预警播报中的变种在技术上与以前的版本没有什么不同，但它所袭击的电脑数量却较高。毒霸反病毒工程师认为这与它借助对抗型下载器传播有一定关系。

　　病毒进入用户电脑后，在系统盘中释放出两个病毒文件，分别是%WINDOWS%\目录下的fmsjhif.exe，以及%WINDOWS%\system32\目录下的fmsjhif.dll，前者是病毒主文件，会被写入注册表启动项，以实现自动启动。而后者是用来执行盗号工作的文件。

　　当成功运行起来，病毒就搜索《热血江湖》、《魔兽世界》和“游戏茶苑大厅”的进程，将fmsjhif.dll注入其中，读取帐号和密码信息。然后发送给病毒作者指定的地址。

病毒名称
Backdoor.Win32.TengYue.a
捕获时间
2008-06-06
病毒摘要
    该后门是使用Delphi编写的后门程序，由微点主动防御软件自动捕获，采用UPX加壳方式试图躲避特征码扫描,加壳后长度为85,504字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑的方式传播，病毒主要作为被入侵系统的后门使用。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理（如图1）；

　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Backdoor.Win32.TengYue.a”，请直接选择删除（如图2）。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
3、开启windows自动更新，及时打好漏洞补丁。

病毒分析
    该后门程序被执行后，拷贝自身到%ProgramFiles%目录下，重命名为W_Server.exe，在同一目录下释放动态库W_Server.dll；调用SCM写注册表，将病毒拷贝W_Server.exe注册成名为Wtyue_Service的服务，使用相关API函数启动被注册的服务；
  Quote:
项：HKLM\SYSTEM\CurrentControlSet\Services\Wtyue_Service\
键值：DisplayName
指向数据：Wtyue_Service
项：HKLM\SYSTEM\CurrentControlSet\Services\Wtyue_Service\
键值：Description
指向数据：Wtyue服务端
项：HKLM\SYSTEM\CurrentControlSet\Services\Wtyue_Service\
键值：ImagePath
指向文件：%ProgramFiles%\W_Server.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\Wtyue_Service\
键值：Start
指向数据：02
使用API函数CreateProcessA运行%ProgramFiles%\internet explorer\IEXPLORE.EXE，申请内存空间将动态库W_Server.dll写入，使用相关API函数激活病毒代码进行代码注入逃避常规杀毒软件的查杀；服务主程序运行后，通过相关API函数从网络空间上读取后门种植者所设置的IP地址和端口号进行反向连接，连接成功后使用API函数开启多个线程与黑客进行通讯，接受黑客的控制，使被病毒感染主机伦为傀儡主机；以批处理的形式将病毒原文件删除；黑客可进行的操作有：远程屏幕操作、文件管理、进程管理、注册表管理、服务管理、超级终端、键盘记录，除此之外还可以在被入侵系统中下载其他病毒程序并运行。

病毒名称
Worm.Win32.AutoRun.duu
捕获时间
2008-06-07
病毒摘要
    该蠕虫是使用Delphi编写的下载程序，由微点主动防御软件自动捕获，采用ASProtect加壳方式试图躲避特征码扫描,加壳后长度为598,016字节，图标为

，病毒扩展名为exe，主要通过网页木马、文件捆绑与移动存储介质的方式传播，病毒主要下载其他病毒程序。
感染对象
Windows 2000/Windows XP/Windows 2003
传播途径
网页木马、文件捆绑、移动存储介质
安全提示
　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知间谍软件”，请直接选择删除处理（如图1）；

　 如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现" Worm.Win32.AutoRun.duu”，请直接选择删除（如图2）。

对于未使用微点主动防御软件的用户，微点反病毒专家建议：
1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。
2、建议关闭U盘自动播放，具体操作步骤：开始->运行->gpedit.msc->计算机配置->管理模板->系统->在右侧找到"关闭自动播放"->双击->选择"已启用"。
3、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。
4、开启windows自动更新，及时打好漏洞补丁。

病毒分析
    该蠕虫程序被执行后，拷贝自身到%ProgramFiles%\Common Files\Microsoft Shared\MSINFO目录下，重命名为“rejoice46.exe”，修改文件属性为隐藏、系统；调用SCM写注册表，将病毒拷贝“rejoice46.exe”注册成名为“windows service”的服务，使用相关API函数启动被注册的服务；使用API函数CreateProcessA运行“rejoice46.exe”；以批处理的形式将病毒原文件删除；
  Quote:
项：HKLM\SYSTEM\CurrentControlSet\Services\windows service\
键值：DisplayName
指向数据：windows service
项：HKLM\SYSTEM\CurrentControlSet\Services\windows service\
键值：Description
指向数据：windows系统程序.如果关闭,可能导致系统异常.
项：HKLM\SYSTEM\CurrentControlSet\Services\windows service\
键值：ImagePath
指向文件：%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\rejoice46.exe
项：HKLM\SYSTEM\CurrentControlSet\Services\windows service\
键值：Start
指向数据：02
“rejoice46.exe”运行后，拷贝自身到%SystemRoot%\system32目录下，重命名为“_rejoice46.exe”，修改文件属性为隐藏、系统；使用API函数CreateProcessA分别运行%SystemRoot%\system32\calc.exe、%ProgramFiles%\internet explorer\IEXPLORE.EXE，申请内存空间将病毒部分代码写入，使用相关API函数激活病毒代码进行代码注入逃避常规杀毒软件的查杀；访问恶意网站将其他病毒下载到本地并运行；遍历盘符在移动存储介质中释放隐藏病毒文件和autorun.inf，使用Windows自动播放功能来传播病毒。