感染方式

运行时，Win32.SillyDl.IQ复制到"%System%\kernels32.exe"，并设置以下注册表键值，为了在每次系统时运行病毒：

HKLM\Software\Microsoft\Windows\CurrentVerion\Run\system = "%System%\kernels32.exe"

HKLM\Software\Microsfot\Window NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\kernels32.exe"

在Windows 9x系统上，设置以下键值：

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\SystemTools = "%System%\kernels32.exe"

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32； 95，98 和 ME 的是C:\Windows\System； XP 的是C:\Windows\System32。

危害

下载并运行其它恶意程序

SillyDl.IQ从"vxiframe.biz"域下载并运行很多其它的恶意文件。这些文件从%System%目录使用以下文件名运行：

vxh8jkdq1.exe

vxh8jkdq2.exe

vxh8jkdq5.exe

vxh8jkdq6.exe

vxh8jkdq7.exe

被特洛伊下载的恶意程序包括Win32.Slimad.C, Win32.Secdrop.FB, Win32.Fisec.A 和 a Win32.Tibser变体。

终止进程

如果以下进程正在运行，特洛伊会终止这些进程：

actalert.exe