病毒运行后,在根目录创建自动播放的2个文件的同时,就开始感染EXE。运行5秒内,WINDOWS和SYSTEM32下没有任何东西生成,但此时很多EXE已经被感染了。病毒发作的时候进程均是Deleting进程。进程名为“? .exe”没有对应的文件。或者是我找不到。我认为应该是病毒主体。但是我找不到主体在哪。病毒发作后首先关闭任务管理器和其他一些进程管理的程序,冰刃测试时直接被关掉。同时在注册表:[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 下创建启动项,启动文件为 %system%\system32\drivers\sppoolsv.exe 。发作后的感染顺序是从根目录下从A到Z遍历文件夹,创建Desktop_.ini 该文件内容为当前日期。同时,从A到Z遍历感染文件。目前我还不清楚它都感染哪些,能看见的是EXE。大概就这些资料,我还在研究中
