病毒行为:

这是一个下载者。该病毒运行后，会立即从网络上下载大量的病毒，种类繁多。该毒会严重占用系统资源。并且会向网络发送数据，占用网络资源。并且被下载的病毒还有盗号功能，如盗"QQ"、"魔域"等。

1.病毒运行后，生成以下病毒文件

D:\\SysAuto.exe

C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\System48.zip

C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\SysInfo.yer

D:\\Autorun.inf

如果用户的系统没有D盘，则病毒运行后不会生成sysAuto.exe和autorun.inf病毒文件，这两个病毒文件具有系统隐藏属性

。

2.添加注册表启动项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrenVersion\\Explorer\\

ShellExecuteHooks\\665E9AE4-DFB5-4EA7-96EA-FE715E962664

3.下载文件

http://down.v****.com/union/*.exe

http://down1.v****.com/union/*.exe

http://down1.v****.com/union/*.exe

并运行以上这些程序。这些都是一些盗号木马，隐蔽软件等等恶意程序。

4.该病毒运行后，在任务管理器中可以看到有许多病毒进程跑了起来，严重占用系统资源。

5.sysinfo.yer会注入到每一个已打开的进程，进行下载。

6.使用反间谍里的隐蔽软件扫描可以发现有QQ、魔域、等多种盗号木马。

3.下载文件

http://down.v369v.com/union/host1.exe

http://down.v369v.com/union/host2.exe

http://down.v369v.com/union/host3.exe

http://down.v369v.com/union/host4.exe

http://down.v369v.com/union/host5.exe

http://down.v369v.com/union/host6.exe

http://down.v369v.com/union/host7.exe

http://down.v369v.com/union/host8.exe

http://down.v369v.com/union/host9.exe

http://down1.v369v.com/union/down1.exe

http://down1.v369v.com/union/down2.exe

http://down1.v369v.com/union/down3.exe

http://down1.v369v.com/union/down4.exe

http://down1.v369v.com/union/down5.exe

http://down1.v369v.com/union/xia1.exe

并运行以上这些程序。这些都是一些盗号木马，隐蔽软件等等恶意程序。