病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：Win32病毒

影响系统：Win9x / WinNT

病毒行为:

这是一个感染型病毒的病毒原体，它会感染explorer.exe文件，被感染的explorer.exe

在每次运行时会开启一个后门线程，随时等待远程终端的控制。

1. 创建名为"BeavisMutex"的互斥体，保证只有一个病毒体在运行。

2. 将自身拷贝到%system%目录下，并添加注册表启动项，以实现开机自启：

[HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run]

"Web Service" = "%system%\\病毒文件名"

[HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\run]

"Web Service" = "%system%\\病毒文件名"

不但如此，病毒又改头换面，将自身再次复制到%system%目录下，命名为

soft.exe，而且也添加了注册表启动项：

[HKCU\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

"run" = "%system%\\soft.exe"

然后病毒体由添加了另一个注册表项：

[HKLM\\Software\\Microsoft\\Active Setup\\Installed Components\\]

"StubPath" = "%system%\\soft.exe"

3. 修改注册表，关闭系统备份功能，然后对

%WinDir%\\

%System%\\dllcache\\

%WinDir%\\ServicePackFiles\\

文件夹中的explorer.exe进行感染，同时还在%WinDir%目录下存放一个感染备份文件explorere.new。

病毒还会在被感染的explorer.exe文件的末尾留下8个字节的感染标记：

0xFF 0xFF 0xFF 0xD0 0xC9 0xC2 0x08 0x00

病毒在%WinDir%目录下创建了名为wininit.ini的配置文件，内容如下：

[rename]

%Windir%\\explorer.exe=%Windir%\\explorer.new

被感染的explorer.exe在运行时，系统会弹出下面的提示：

4. 病毒体还会收集系统的版本信息，并从下面这个网址

http://ad*****ash.***

下载其它可能的病毒文件。

5. 被感染的explore.exe会开启一个病毒线程，每15分钟运行一次，

修改与系统安全相关的注册表项，并从上面的网址下载commands.ini

文件。