文件名称：AutoRun.exe、WIN.exe

　　文件大小：102400 byte

　　AV命名：

　　江民：TrojanDownloader.Agent.uec
　　卡巴斯基：Virus.Win32.Downloader.ab
　　瑞星：Win32.Downloader.n
　　NOD32：Win32/Mypis.J virus

　　加壳方式：UPX 0.89.6 - 1.02 / 1.05 - 1.24

　　编写语言：Borland Delphi 6.0 - 7.0

　　文件MD5：4f76815722d6440371ac8148d59add33

　　行为分析：

　　1、 不释放任何副本和启动项，因为被感染的文件等同于病毒

　　2、查找可用磁盘，生成Autorun.exe和Autorun.inf。（未实现）

　　3、获取物理内存，可能作为隐藏进程用，不过没有实现。

　　4、保证一个互斥体，标志为“wokaon”避免多个病毒体在运行。

　　5、查找硬盘EXE和SCR文件并感染，首先跳过以下文件夹：

WINDOWS
WINNT
RECYCLER
$RECYCLE.BIN
System Volume Information
Config.Msi
InstallShield Installation Information
Internet Explorer
Outlook Express
NetMeeting
Common Files
Messenger
Windows Media Player
WinRAR
MSOCache
Documents and Settings

　　感染后的文件增加一区段，里面包含下载木马的命令，并修改入口点优先执行病毒。

　　6、查找"IEFrame" 类名窗口并关闭，可能导致一些浏览器被关闭。

　　7、连接网络，下载3个木马，并保存至本地为：

　　c:\Program Files\Common Files\m1.exe
　　c:\Program Files\Common Files\m2.exe
　　c:\Program Files\Common Files\m3.exe

　　测试时并没有实现。

　　解决方法：

　　因为没有启动项，所以不需要文件和注册表

　　1、 下载PowerRmv(可到down.45it.com下载)，选上抑制杀灭对象生成，填入：

　　C:\autorun.inf
　　C:\autorun.exe
　　D:\autorun.inf
　　D:\autorun.exe
　　E:\autorun.inf
　　E:\autorun.exe
　　F:\autorun.inf
　　F:\autorun.exe

　　又移动盘的自己再加上。

　　2、清理磁盘上的所有临时文件。

　　3、下载杀软，全盘扫描，修改被感染过的文件。

　　如果杀软不能识别的话，上报…