該病毒為黑客后門病毒,中毒后會釋放大量病毒文件,連接網(wǎng)絡(luò),并發(fā)送用戶信息到指定郵箱,并監(jiān)聽特定端口，等待黑客連接。

1、病毒運行后，釋放大量病毒文件，連接網(wǎng)絡(luò)，收集用戶信息發(fā)送到指定郵箱，釋放文件如下:
C:\DOCUME~1\Admin\LOCALS~1\Temp\server..exe
%windows%\server..exe
%windows%\qservice.exe
%windows%\services.dll
%windows%\kurlmon.dll
%windows%\k_urlmon.dll
%windows%\msehk.dll
%system%\bszip.dll
%system%\hookMpi.dll
%system%\agnt_fps.exe
%system%\agnt_mps.exe
%system%\agnt_pnc.exe
%system%\drivers\keensense.sys
%system%\drivers\ksdevice.sys
其中server..exe、qservice.exe、services.dll為主要病毒文件。

2、查找系統(tǒng)中的反病毒軟件，并關(guān)閉其服務(wù)進程。

3、添加注冊表項

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
FireWall="C:\WINDOWS\Server..exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
qservices="C:\WINDOWS\Server..exe"

4、生成.bat文件刪除自身。

5、插入瀏覽器進程，發(fā)送郵件。

6、瀏覽器中的病毒線程會不停的添加如下注冊表項

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]qservices="C:\WINDOWS\Server..exe"