病毒描述

　　该病毒为下载者病毒，病毒运行之后，在注册表中添加SOFTWAREMicrosoftDataAccess项，保存该十六进制形式的病毒代码入键值adatapx中。保存病毒的名称到键值"db2"中,添加病毒服务，使病毒开机自启动，将Svchost.exe-k netsvcs服务设置为自动以提高权限来删除杀软服务，拷贝自身到%WINDOWS%System32config下，病毒运行后删除自身文件，连接网络下载大量病毒文件。

　　行为分析-本地行为

　　1、创建病毒服务、添加注册表项

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftDataAccessadatapx

　　值: 字符串: "[md5]5f022e9a35d3451af6f25a7a52b6bca1.exe"

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesProtectedStoriDescription

　　值: 字符串: "管理系统资料快照存储服务，该服务不能被删除。"

　　描述：病毒服务描述

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesProtectedStoriDisplayName

　　值: 字符串: "Protected Storage Manager "

　　描述：病毒服务名

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesProtectedStoriImagePath

　　值: 字符串: "%WINDOWS%system32svchost.exe-k netsvcs."

　　描述：提高权限来删除杀软服务

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesProtectedStoriStart

　　值: DWORD: 2 (0x2)

　　描述：病毒启动方式为自动

　　HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesProtectedStoriType

　　值: DWORD: 272 (0x110)

　　2、以十六进制形式的病毒代码入键值adatapx中。保存病毒的名称到键值"db2"中。

　　3、文件运行后会释放以下文件

　　%System32%xunleiBHO_Now5.dll

　　%System32%bfh7.dll

　　%System32%7fg9.dll

　　%System32%9ffe.exe

　　%WINDOWS%Downloaded Program Filesfa7ac.dll

　　%WINDOWS%Downloaded Program Filesfa7b.dll

　　%WINDOWS%Player.exe

　　%WINDOWS%