“广告宣传单983040”（Win32.Troj.Autorun.ex.983040） 威胁级别：★

病毒进入系统后，首先将自己的病毒文件ridiap080124.exe复制至%WINDOWS%\\system32\\目录下，并在系统盘中生成四个病毒文件，分别是%WINDOWS%\\目录下的ie.ini，%Documents and Settings%\\All Users\\「开始」菜单\\程序\\启动\\目录的word.lnk，%WINDOWS%\\system32\\目录下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。释放完文件后，病毒就建立批处理程序，把自己的原始文件删除，使用户无法发现病毒源。

病毒会利用word.lnk快捷方式指向病毒主文件ridiap080124.exe来达到开机启动，然后查找“瑞星”和“卡巴斯基”等的警告窗口，如发现则模拟发送按钮消息跳过查杀。同时还注入系统桌面的进程iexplorer.exe，在进程中查找并关闭“瑞星”、“卡巴斯基”、“360安全卫士”等安全软件的进程。

解决掉安全软件后，病毒尝试将自身伪装成Browser Helper Objects的进程（微软IE浏览器对第三方程序员开放交互接口的业界标准），并将自己添加到IE保护工具白名单中，删除系统中用于记录网址的hosts文件，为自己接下来的破坏行为铺平道路。

如顺利完成以上工作，病毒便连接木马种植者指定的地址，获取一份网址信息，自动登