行为概述

该EXE是病毒下载器，它会：

1） 参考系统C盘卷序列号来算出服务名，EXE 和DLL 的文件名。

2） 在每一个驱动器下放置AUTO病毒autorun.inf 和自身副本auto.exe 并加系统和隐藏属性。

3） 在系统system32 下放置自身副本“随机名.exe ”和释放出来的“随机名.dll” 并将它们伪装成具有隐藏属性的系统文件。

4） 修改系统键值，将系统隐藏文件选项删除，造成用户无法查看隐藏起来的病毒文件。

5） 修改系统注册表，将自己注册为服务开机启动。

6） 搜索注册表启动项里是否有“360”字符串键值，有了删除，并用ntsd 关闭程序，搜索窗口是否含有“金山毒霸”，有了模拟操作关闭。判断进程里是否有卡巴斯基的文件AVP.EXE， 有则修改系统时间，使得卡巴失效。

7） 通过网站文件列表下载其它病毒。

8） 删除该病毒以前版本遗留的注册表信息。

9） “随机名.dll” 会远程注入系统进程中的所有进程

执行流程

1． 参考C 盘卷序列号的数值算出8 位随机的服务名，exe 和dll 的文件名。（还记得AV终结者吗？最开始出来就是随机8位数文件名的EXE）

2． 搜索当前文件名是不是auto.exe，若是调用explorer.exe ShellExecuteA 打开驱动器。

3． 对抗杀毒软件：

搜索注册表启动项里是否有“360”字符串键值，有则删除，使得360以后都无法自动启动。并紧接着关闭已启动的360程序。

检查当前进程中有没有卡巴斯基的进程AVP.EXE ，有的话修改系统时间，令依赖系统时间进行激活和升级的卡巴失效。

病毒还会试图关闭金山毒霸它查找毒霸的监视提示窗口"KAVStart" ，找到后通过PostMessageA 发送CLOSE 消息，然后用FindWindowExA 搜索"金山毒霸" 通过SendMessageA 发送关闭消息，以及模拟用户，发送点击鼠标按键消息关闭。不过，经测试以上方法都不能关闭金山毒霸。

4． 比较当前文件运行路径是不是在系统SYSTEM32 下的随机名，不是则复制自身副本到系统SYSTEM32 。