病毒描述

该病毒为蠕虫类。病毒运行后释放文件到系统目录下，自动打开病毒运行时所在路径的文件夹，采用U盘寄生虫技术在各个逻辑磁盘根目录下创建autorun.inf与MS-DOS.com文件，达到中毒机器在常态下病毒文件的传播；病毒的启动方式采用多样化，即使病毒在注册表中的启动项被删除，病毒还可以被启动；双重文件隐藏保护，设置文件夹选项中的隐藏系统保护文件选项不可用及隐藏指定后缀名文件；伪装及映像劫持技术，映像劫持多个系统关键进程文件，将病毒文件伪装成系统更新文件以及注册表打开程序等；病毒文件

采用文件夹图标并在系统备份文件夹内建立与病毒相应名称的系统文件，让用户认为其是正常的系统文件，以达到混淆视听的目的；保持中毒原有状态，对开机关机优化设置，使得开关机速度提升，使用户感觉不到因为机器中毒拖慢系统；病毒采用进程互锁技术，病毒完全运行后创建多个进程，各进程互相保护。

行为分析

本地行为：

1、文件运行后会衍生以下文件：

%DriveLetter%\autorun.inf

%Temp%\~DF7634.tmp

%Temp%\~DF8840.tmp

%Temp%\~DF9A47.tmp

%DriveLetter%\MS-DOS.com

%Windir%\Cursors\Boom.vbs

%Windir%\Fonts\Fonts.exe

%Windir%\Fonts\tskmgr.exe

%Windir%\Media\rndll32.pif

%Windir%\pchealth\Global.exe

%Windir%\pchealth\helpctr\binaries\HelpHost.com

%Windir%\system\KEYBOARD.exe

%System32%\dllcache\autorun.inf