“纵火狐狸精”（Win32.Magni.a.18944） 威胁级别：★★

病毒进入用户系统后，在系统盘的%Program Files%\\Common Files\\Microsoft Shared\\Speech\\目录下释放出病毒文件taskmgr.exe和dlg.dll，在%WINDOWS%\\system32\\spool\\目录下释放出冒充成杀软“卡巴斯基”的病毒文件KAV.log。随后，它修改注册表，将自己添加到开始菜单启动项的“Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\protect.exe”路径下，实现开机自启动之目的。

病毒会修改注册表中关于文件显示属性的相关数据，使得文件夹选项中的“显示所有文件和文件夹”一项消失。这样，如果它以后生成的病毒文件中有具隐藏属性的，用户也将无法发现它们。然后，病毒迅速强行关闭用户系统中的安全软件，使自己以后都能为所欲为。包括卡巴斯基、瑞星、超级巡警、麦咖啡在内的大部分著名安全软件都是它的关闭目标。

解决掉安全软件后，病毒便开始进行感染。它会感染除系统目录外的exe、com、scr文件，所有被感染文件图标变为放大镜。病毒会在文件尾部加上字符串“firefox”作为感染标记，避免自己浪费时间进行二次感染，以提高破坏效率。被感染文件运行后，会将原始文件释放到当前目录，并在文件名后加上“#”，且设为隐藏属性。长此以往，用户的系统资源就会被占用。

碰到这种情况，一些用户可能会试图使用GHOST来进行修复，但很不幸，此病毒作案已经删除了所有GHOST系统备份文件。最后，病毒悄悄建立远程连接，从“http://www.4**m.i*v.tw/20**lib/eng/Image”这个由木马种植者指定的地址下载大量病毒文件到用户电脑上运行，给用户带来无法估计的更大破坏。同时，为扩大自己的传播范围，病毒还在各盘中生成AUTO病毒folder.exe文件和autorun.inf辅助文件，只要用户在中毒电脑上使用U盘等移动设备，病毒就会立即将其传染。