此毒运行后释放下列文件：

%system%\brastk.exe
%system%\divers\dllcache\figaro.sys
 
改写系统文件：
%system%\divers\beep.sys
%system%\divers\dllcache\beep.sys


添加注册表项：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\brastk
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\brastk
HKLM\System\CurrentControlSet\Control\Session Manager\\PendingFileRenameOperations


释放并运行一个.bat，此.bat运行后，删除install1.exe及自身。


上述动作完成后，系统立即重启。如果没有工具监控其运行，用户就这么糊里糊涂的中招了。

这类改写%system%\divers\beep.sys的病毒很流行。建议各位用主动防御看管好自己的%system%\、%system%\divers\dllcache\以及%system%\drivers\目录，不给这类病毒可乘之机。

手工查杀流程：


1、用组策略禁止上述病毒程序运行。
2、重启系统。
3、删除上述病毒文件及其注册表项。
4、自正常同类系统拷贝beep.sys到中毒电脑的%system%\divers\目录下。


附：此毒相关信息

病毒文件的大小及MD5值

原样本：
install1.exe（42.5K） 6412c769d7d5db534a6f9b3910a846a8

生成物：
brastk.exe（9.5K）  1d45317da5b26967905c8b8715b9c987
figaro.sys （27K）  f8a6751cbc71a3eb44c5838f5735da13
beep.sys （27K）    f8a6751cbc71a3eb44c5838f5735da13

用户系统信息：Opera/9.52 (Windows NT 5.1; U; zh-cn)

没了。

你还要啥？


此毒样本我发在了样本区