病毒名称：Trojan.Billrus.Texto

发现日期：2001/6/29

大小： 36,864 字节

该木马驻留内存，文件的图标看起来就是一个普通的文本文件。每个10分钟，木马检测A驱中是否有磁盘存在，如果有磁盘存在，木马将删除足够的文件以保证能够将自身拷贝到该软盘中，同时还有其他的必须文件。

该木马删除下列文件，然后用自身的副本替换它们。

Attrib.exe, Edit.com, Format.com, Deltree.exe, Ed.cab, Mscdex.exe, Appwiz.cpl,

Attrib.com, and Deltree.com.

该木马能够更改它的文件名为18个不同名字中的一个：

如 Readme.exe, Gratis.exe, Leeme.exe, Trucos.exe, Texto.exe, Notas.exe, Free.exe,

Aviso.exe, Demo.exe, Software.exe, Shareware.exe, Chistes.exe, Leer.exe, Datos.exe,

Documento.exe, Freeware.exe, Password.exe, or Clave.exe。

第一次运行时，木马会启动记事本并显示木马作者的EMAIL地址。木马通过向注册表中添加一个值，以保证能够在系统每次启动后都运行该木马。当木马被激活30次后，它将删除C盘上的所有文件，并显示一个标题为Uruguay的消息框，其中包含文字：Billrus。

该木马用VB编写，当运行时，会执行下列工作：

1、将自身副本拷贝到任何软盘上，要求有VB运行时间的动态连接库文件运行，木马把该.DLL文件的

属性设为系统、隐藏和只读，这样就不容易被删除。

2、将自身拷贝到\\Windows\\System\\Rundii32.exe。

3、访问Regedit.exe（注册表文件），当注册表编辑器没有真正打开时，只要木马运行，用户就不能运行注册表编辑器。

4、添加注册键值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

值：Shell Windows\\system\\Rundii32.exe