发作症状:病毒运行后将自身复制为伪系统正常文件以迷惑用户,并通过注入技术将病毒关键代码注入系统正常程序进程中以穿过网络防火墙下载其它病毒。病毒运行后,将自身复制为%Windir%\system32\mswdm.exe,并且添加注册表启动项,病毒首先尝试通过枚举系统进程列表找到"SERVICES.EXE"的进程,找到后提升权限,操作成功则注入下载代码,操作失败则通过查找窗体类名为"Shell_TaryWnd"定位Explorer的进程,然后将下载代码注入该进程中。网络可用时病毒连接相关网站下载其它病毒。病毒主要通过软件捆绑或欺骗方式进行传播。 专家建议:电脑用户升级杀毒软件并打开实时监控,以免中毒造成损失。 金山反病毒工程师建议:
1. 请您不要轻易运行从Internet下载后未经杀毒软件处理的文件,强烈建议您先用最新病毒库的毒霸进行扫描,然后决定是否运行。 2. 当操纵者控制用户电脑时,就可直接导致用户的信息被泄露, 为了您系统和个人信息的安全,专家建议用户在打开一个陌生文件时,请用最新病毒库的杀软进行扫描。 金山毒霸反病毒应急中心及时进行了病毒库更新,升级毒霸到2006年8月23日的病毒库即可查杀以上病毒;如未安装金山毒霸,可以登录 http://www.duba.net 免费下载最新版金山毒霸2006或使用金山毒霸在线杀毒来防止病毒入侵,拨打金山毒霸反病毒急救电话:010-82331816 反病毒专家将为您提供帮助。” | 
