這是一個(gè)下載者病毒,病毒會(huì)把客戶計(jì)算機(jī)里的安全軟件警告都關(guān)閉掉,使客戶計(jì)算機(jī)里的安全軟件失去作用.病毒在客戶計(jì)算機(jī)上的每個(gè)盤(pán)下生成AutoRun.inf和Dser.exe文件.病毒會(huì)讀取木馬種植者指定的其它木馬下載地址并下載保存到客戶計(jì)算機(jī)上運(yùn)行.

病毒成功在客戶計(jì)算機(jī)上運(yùn)行后把自身復(fù)制到客戶計(jì)算機(jī)的%SystemRoot%\system32\文件夾下.

病毒會(huì)注冊(cè)表服務(wù)項(xiàng)以達(dá)到開(kāi)機(jī)自啟動(dòng)的作用.

病毒通過(guò)查找窗口的方法關(guān)閉安全軟件的警告窗口,如發(fā)現(xiàn)客戶計(jì)算機(jī)上安裝了指定的殺軟,會(huì)修改系統(tǒng)時(shí)間導(dǎo)致殺軟失效.

病毒生成的文件:
%SystemRoot%\system32\Dser.exe

病毒添加的注冊(cè)表項(xiàng):
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN

Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"

病毒會(huì)從以下指定的木馬下載地址下載木馬程序至客戶計(jì)算機(jī):
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe