病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：Win32病毒

影响系统：Win9x / WinNT

病毒行为:

该病毒是一个PE感染型病毒。感染本机固定磁盘上的所有PE文件，并加密原文件的资源节，由于该病毒技术上的一些原因，导致被感染后的文件不能正常运行。

1.判断文件偏移0x610处是否为“Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/”

该字符串被加密，原字符串应为“Hidden Dragon virus. Born in a tropical swamp.”

如是则已被感染病毒。

2.创建一个名为“GlobalPowerManagerMutant”的互斥量

3.把文件属性设为系统、隐藏

4.复制自身到临时文件夹并运行。

5.复制自身到%SystemRoot%\\svchost.exe并运行

6.把当前进程注册为服务

7.向注册表HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

添加PowerManager＝%SystemRoot%svchost.exe

8.向系统注册一个服务

ServiceName＝PowerManager

DisplayName＝PowerManager

StartType＝SERVICE_AUTO_START

ImagePathName＝%SystemRoot%\\svchost

说明＝Manages the power save features of the computer.

9.加密原文件的资源节