這是一個(gè)木馬程序。會(huì)在磁盤中釋放出文件，會(huì)修改注冊(cè)表。然后連接遠(yuǎn)程網(wǎng)址，上傳用戶系統(tǒng)信息，并等待黑客命令。

行為分析:

在磁盤中釋放出以下文件:
C:\WINDOWS\SYSTEM32\rnmxajkl.sys
C:\WINDOWS\SYSTEM32\nhmxcjkl.dll
C:\WINDOWS\SYSTEM32\lpmxajkl.exe

在磁盤中刪除了以下文件:
C:\WINDOWS\SYSTEM32\nhmxcjkl.dll
C:\WINDOWS\SYSTEM32\lpmxajkl.exe

在注冊(cè)表中創(chuàng)建了以下信息:
"HKCR\CLSID\{37AC9076-C898-B098-D098-A18319080973}\InprocServer32"

在注冊(cè)表中設(shè)置了以下信息:
"HKCR\CLSID\{37AC9076-C898-B098-D098-A18319080973}\InprocServer32" "" "C:\WINDOWS\SYSTEM32\nhmxcjkl.dll"
"HKCR\CLSID\{37AC9076-C898-B098-D098-A18319080973}\InprocServer32" "ThreadingModel" "Apartment"

病毒會(huì)連接作者指定的網(wǎng)址:
域名:"42.**.241.118"端口:80(TCP)
42.**.241.118/image/logo.jpg?queryid=80142

在系統(tǒng)中創(chuàng)建了以下進(jìn)程:
病毒創(chuàng)建了一個(gè)CLSID為{FCFB3D23-A0FA-1068-A738-08002B3371B5}類名為VBRuntime的COM組件
病毒創(chuàng)建了一個(gè)CLSID為{E93AD7C1-C347-11D1-A3E2-00A0C90AEA82}類名為VBRuntime6的COM組件