该病毒主要通过共享目录、弱密攻击、感染系统文件、做为邮件的附件等方式进行传播。
病毒释放如下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目录\vdll.dll
添加如下启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\Windows\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\Windows\\rundl132.exe"
病毒感染大小在27KB-10MB间的EXE文件(不感染系统文件夹和%ProgramFiles%文件夹下的文件),并在被感染的文件夹中生成_desktop.ini。
vdll.dll注入Explorer.exe或者iexplore.exe进程,以绕过防火墙下载其他木马程序。
结束一些反病毒软件进程。
如果RS仅发现这么一个文件那是无法清除的,还有别的病毒文件甚至还有被病毒感染的许多EXE
