中毒症状：

　　一打入瑞星2字IE就会自动关闭……

　　用baidu等搜索“杀毒”字样，所有网页会直接跳掉……

　　……

　　病毒行为：

　　==================================================

　　1、病毒是一个8位随机数组成的（0―F），其实是本身机子的机器码。运行后同名的Dll文件，设置系统全局挂勾。后枚举进程，插入TIMPlatform.exe和Explorer.exe进程（如果有）

　　Dll的文件在C:\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\下，目录下还有个同名的dat文件```

　　2、插入进程的随机8位数.dll检测窗口句柄，并关闭列入病毒名单的“关键字”一些冷门的工具也不放过`````

　　3、修改IFEO重定向劫持，指向的是：C:\ProgramFiles\CommonFiles\MicrosoftShared\MSInfo\的Dat文件。

　　4、安全模式和显示隐藏文件，达到自身防护的目的。

　　5、一个Dl1.exe，创建远程线程并调用IE下载木马，下载其他病毒文件。

　　6、（遍历）每个分区，在跟目录成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒。

　　Autorun.inf内容为：

　　[AutoRun]

　　open=随机8位数.exe

　　shell\open=打开(amp;O)

　　shell\open\Command=随机8位数.exe

　　www.192.168.0.1shell\open\Deult=1

　　shell\explore=资源管理器(amp;X)

　　shell\explore\Command=随机8位数.exe

　　7、依附宿主的随机8位Dll每隔一段时间刷新，检测自身的“同党”和修改的注册表项，如果被修改和删除的话即使其恢复。并移动介质盘插入，支持U盘`````````

　　8、修改安全工具（杀软）服务和驱动的启动类型，设置为禁用，并删除其RUN启项，最后还挂了系统自带的防火墙``

　　9、用安全工具（如果能打开）检测宿主模块时，那么它则卸掉自身，安全工具退出（关闭）时，重新注入。

　　10、病毒版本：在C:\ProgramFiles和C:\WINNT\system32\DirectX，一个.ini的文本，里面生成病毒的版本``我生成的是525，也就是5.25日更新的版本。

　　11、局域ARP挂马````比较“旁门”的技术（开始有点作者）由外部下载的病毒ycnt9.exe，的win1ogo.exe，由它局域，每5秒刷新从自身机子（被感染的）经过的ARP数据包，并插入一短Js代码

　　代码内容为：

　　。嗅探范围：192.168.0.1-192.168.0.254，这意味着经过该被感染机子的数据包返回时，是一段被挂马的数据包！！！说简单点就是你浏览的所有网页上都有病毒。后来我点入该网址，是个MD5一样的8位随机病毒，呵呵，病毒名字为“hello.exe”。

　　这可比访问局域穷举猜口令轻松多了，这也是我作者的地方。

　　12、常驻进程的随机8位数.dll每毫秒刷新，尝试拦截FindWindowExA、mouse_event等信息函数，修改映像命令，发送“假情报”`````向瑞星注册表捕捉发送“允许”命令`（不经过用户操作）``````本文引用自

　　target=_blank>