這是一個下載者病毒,病毒會把客戶計算機里的安全軟件警告都關閉掉,使客戶計算機里的安全軟件失去作用.病毒在客戶計算機上的每個盤下生成AutoRun.inf和Dser.exe文件.病毒會讀取木馬種植者指定的其它木馬下載地址并下載保存到客戶計算機上運行.

病毒成功在客戶計算機上運行后把自身復制到客戶計算機的%SystemRoot%\system32\文件夾下.

病毒會注冊表服務項以達到開機自啟動的作用.

病毒通過查找窗口的方法關閉安全軟件的警告窗口,如發(fā)現(xiàn)客戶計算機上安裝了指定的殺軟,會修改系統(tǒng)時間導致殺軟失效.

病毒生成的文件:
%SystemRoot%\system32\Dser.exe

病毒添加的注冊表項:
Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINSERVERDOWN

Key:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinServerDown
ImagePath:"%SystemRoot%\system32\Dser.exe"

病毒會從以下指定的木馬下載地址下載木馬程序至客戶計算機:
hxxp://www.**ba*ba*mm.**.cn/123.exe
hxxp://www.**ba*ba*mm.**.cn/124.exe
hxxp://www.**ba*ba*mm.**.cn/125.exe
hxxp://www.**ba*ba*mm.**.cn/126.exe
hxxp://www.**ba*ba*mm.**.cn/127.exe
hxxp://www.**ba*ba*mm.**.cn/128.exe