一、运行后的表现：
1、在C:\Program Files\Internet Explorer\释放loadie.exe。在C:\释放kao.reg。
在D:\释放autorun.inf和command.exe。（我的系统只有C、D两个分区）

C:\kao.reg的内容为：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AutoRun"="C:\\Program Files\\Internet Explorer\\loadie.EXE"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"SyncMode5"=dword:00000003

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"CDRAutoRun"=dword:00000000

2、通过80端口访问网络：
64.94.110.11美国加州
12.158.80.10美国ATT用户
60.28.242.137未知地址
72.246.46.70未知地址
......
此后，58.48.154.37狂扫本机端口，但被Tiny一一拦截掉（图）。

3、每次启动系统，loadie.exe加载iexplore.exe以及系统驱动ipnat.sys。C:\kao.reg调用regedit，将其中内容写入注册表。

4、未打开IE浏览器前，即可见iexplore.exe进程。

5、如果中招的系统无防火墙或者其防火墙拦截不了loadie.exe的网络通讯，它会自动从http://www.jg666.net/wm/下载三个病毒文件qq1.exe、mh1.exe和zt1.exe。

6、修改注册表多处：

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
添加：
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{47833539-D0C5-4125-9FA8-0819E2EAAC93}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}

在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
添加：
"CDRAutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:00000095


在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加："AutoRun"="C:\\Program Files\\Internet Explorer\\loadie.EXE"

二、查杀流程：
断网。
关闭IE浏览器。

1、清理注册表：
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
删除：
{0055C089-8582-441B-A0BF-17B458C2A3A8}
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
{47833539-D0C5-4125-9FA8-0819E2EAAC93}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{AE7CD045-E861-484F-8273-0445EE161910}
{DEDEB80D-FA35-45D9-9460-4983E5A8AFE6}
{FB5F1910-F110-11D2-BB9E-00C04F795683}

展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
删除：
"CDRAutoRun"=dword:00000000
"NoDriveTypeAutoRun"=dword:00000095

展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
删除："SyncMode5"=dword:00000003

展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："AutoRun"="C:\\Program Files\\Internet Explorer\\loadie.EXE"

2、删除文件：
C:\Program Files\Internet Explorer\loadie.exe。
C:\kao.reg。
D:\autorun.inf。
D:\command.exe。

猫叔，最新版本瑞星报毒吗？

引用:

【deadmanzj的贴子】猫叔，最新版本瑞星报毒吗？ ………………

开着卡巴斯基玩儿的。畅通无阻。
我的卡巴斯基可是自动更新哦。

耶，偶要样本。。。gudugd@yahoo.com.cn谢谢猫叔

这就是那公布的漏洞样本？


发个killvir#gmail.com

【回复“deadmanzj”的帖子】
已经发到 gudugd@yahoo.com.cn

谢谢，猫叔

【回复“艾玛”的帖子】
已发到killvir@gmail.com
你给的是killvir#gmail.com
导致yahoo警告我一次！！
汗！！

baohe
根目录还有autorun.ini生成

[AutoRun]
open=commamd.exe

引用:

【艾玛的贴子】 baohe 根目录还有autorun.ini生成 ………………

谢谢提醒。
只在D:\下找到autorun.inf。内容是：
[AutoRun]
Open=command.exe

c:\下没有这东东
但是，双击D盘盘符仍可打开D盘。有点儿糊涂了。