来源：瑞星公司

这是一个Virutal Basic编写的蠕虫病毒，用UPX加壳程序进程保护。

    该病毒运行后，首先把自身复制在All User的启动文夹中更名为startup.bat并运行(如:C:\Documents and Settings\All Users\「开始」菜单\程序\启动). 

    接着病毒还会将自身复制到多个系统目录中,路径为%Windir%,子目录名从下列路径名为随机抽取(\system,\web,\fonts,\temp,\help)文件名在下列文件名中随机抽取(winlogon.exe,csrss.exe,
taskmgr.exe,lsass.exe,smss.exe,svchost.exe,internat.exe,spoolsv.exe,conime.exe)

    病毒会将自身更名为下列三个文件名称regedit.exe,notepad.exe,msconfig.exe,并复制到%SYSTEM32%目录中,替换已经存在的正常文件(regedit.exe,msconfig.exe),并将正常的regedit.exe,msconfig.exe复制到%WinDir%目录中备用,用户在执行这三个程序的同时必定会使病毒也执行起来.

    病毒会修改注册表项,达到隐藏文件的目的.
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"HideFileExt" = 0X00000001
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced"Hidden" = 0X00000000

    病毒会执行下列命令,使中毒计算机完全暴露在网络中,便于病毒作者进行其它的操作.
 如:
 cmd /c net share C$=c:\
 cmd /c net share D$=d:\
 将计算机的C盘和D盘共享.
 cmd /c net user admin /add
 添加一个"admin"的用户
 cmd /c net localgroup administrators admin  /add  
 将"admin"的用户加入到本地的administrators组中,得到最大的控制权

    病毒遍历本地所有存储设备,向可移动存储设备中,写入病毒本身(名字改为"command.com") 和autorun.inf.其中autorun.inf的内容为:
 [autorun]
 OPEN=Comand.com
 Shellexecute=comand.com
 Shell\explorer\command=comand.com

    病毒在遍历本地存储设备的同时,会在本地所有硬盘的根目录中复制一个和目录名相同的病毒文件,迷惑用户.

    总结：这个病毒具有较大的破坏性和传播性,其文件图标为Windows系统的文件夹图标,用户非常容易受到迷惑,轻易点击该病毒.该病毒还会将用户常用的一些文件进行替换,使用户在不知不觉中,就可以中招,十分阴险.另外该病毒还可以通过移动设备进行传播.

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

1 . 瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.19.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。