发作症状:病毒被运行后,生成的文件: %SystemRoot%system32rundll32.com、finder.com、command.pif;%SystemRoot%finder.com、WINLOGON.EXE;%Program Files%intern~1iexplore.comcommon~1iexplore.pif; %SystemRoot%explorer.com、1.com、ExERoute.exe%D:%pagefile.pi、autorun.inf;%SystemRoot%system32MSCONFIG.COM、dxdiag.com、regedit.com;%SystemRoot%DebugDebugProgram.exe,修改系统exe文件关联,修改System.ini中的shell项,修改http协议缺省启动程序,修改ftp协议缺省启动程序,修改htmlfile协议缺省启动程序,添加自启动项。该病毒在其他非系统盘建了一个autorun.inf,每次双击这些盘都会再次感染该病毒。该病毒在系统装了一个类型为WH_MSGFILTER消息钩子监视传奇、QQ等登陆程序,其申请进程路径是%SystemRootWINLOGON.EXE,ExERoute.exe进程会监视并维护WINLOGON.EXE进程。一旦获得帐号密码该病毒就会将这些信息上传到处理网页上。该病毒在系统中做了很强的自我保护。 金山反病毒工程师建议:
1. 请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。 2. 当操纵者控制用户电脑时,就可直接导致用户的信息被泄露, 为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。 金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2006年8月10日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录 http://www.duba.net 免费下载最新版金山毒霸2006或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话:010-82331816反病毒专家将为您提供帮助。” | 
