這是一個(gè)木馬病毒，該病毒會(huì)從網(wǎng)絡(luò)下載其他木馬病毒到本地系統(tǒng)運(yùn)行，還會(huì)下載一個(gè)hosts文件用以替換系統(tǒng)正常的hosts文件，禁止用戶(hù)訪問(wèn)某網(wǎng)站并使某IP對(duì)應(yīng)某些木馬網(wǎng)站，一旦用戶(hù)訪問(wèn)該IP，瀏覽器就會(huì)自動(dòng)跳轉(zhuǎn)到這些木馬網(wǎng)站。

1.該病毒下載多個(gè)木馬病毒到本地系統(tǒng)：

釋放木馬病毒W(wǎng)in32.Troj.QQRobber.fb到：
[臨時(shí)文件夾]\qq[1].exe
[臨時(shí)文件夾]\cq1[1].exe
C:\WINNT\System32\NTdHcP.exe
C:\WINNT\System32\cq2.exe
C:\ProgramFiles\CommonFiles\update\pp2.exe

釋放病毒W(wǎng)in32.Troj.PSWThief.m到：
[臨時(shí)文件夾]\gezi[1].exe
C:\ProgramFiles\CommonFiles\update\pp3.exe
C:\ProgramFiles\CommonFiles\System\svchost.exe

釋放病毒W(wǎng)in32.Troj.Agent到：
[臨時(shí)文件夾]\arsetup[1].exe
C:\ProgramFiles\CommonFiles\System\arsetup.exe

釋放病毒釋放病毒W(wǎng)in32.Troj.Delf.fd到：
[臨時(shí)文件夾]\aichong[1].exe
C:\ProgramFiles\CommonFiles\update\pp4.exe

釋放病毒W(wǎng)in32.Troj.Downloader.tr到：
[臨時(shí)文件夾]\cq[1].exe
C:\ProgramFiles\CommonFiles\update\pp1.exe

釋放病毒W(wǎng)in32.Troj.Small到：
[臨時(shí)文件夾]\cq2[1].exe
C:\WINNT\System32\cq.exe

釋放病毒W(wǎng)in32.Troj.Delf到：
C:\ProgramFiles\CommonFiles\update\update.exe

2.添加注冊(cè)表啟動(dòng)項(xiàng)：

HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"="C:\WINNT\System32\NTdhcp.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost"="C:\ProgramFiles\CommonFiles\System\svchost.exe"

HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
"ScanRegistry"="C:\ProgramFiles\CommonFiles\update\update.exe"

3.從網(wǎng)絡(luò)上下載一hosts文件到臨時(shí)文件夾并替換系統(tǒng)的hosts文件禁止用戶(hù)訪問(wèn)某網(wǎng)站并使某IP對(duì)應(yīng)某些木馬網(wǎng)站。