该样本程序被执行后，创建名为“Love Av Av Av Av Av”的互斥体对象，防止系统中有多个病毒实例同时运行；将%SystemRoot%system32drivers目录下“beep.sys”读到 内存缓冲区以作备份，后在%SystemRoot%system32drivers目录下释放病毒驱动文件“sbl.sys”，使用相关API函数关 闭“beep服务”，拷贝病毒驱动“sbl.sys”为“beep.sys”，使用相关API函数启动“beep服务”以加载驱动。驱动加载成功后，恢复 SSDT，使部分杀毒软件安全监控失效。后该样本使用API函数“DeleteFileA”删除病毒驱动“sbl.sys”，将内存缓冲区内备份的文件 “beep.sys”回写，覆盖掉病毒驱动，使用户不易察觉。之后进行如下动作：

　　遍历进程结束以下安全软件进程；

　　Quote:

　　ravmond.exe

　　ravmon.exe

　　rav.exe

　　ravtask.exe

　　ravstub.exe

　　ccenter.exe

　　枚举窗口查找窗口名称为以下字符的窗口，通过发送消息“WM_CLOSE”、“WM_QUIT”、“WM_DESTROY”将其关闭；

　　Quote:

　　防火墙

　　杀毒

　　江民

　　金山

　　木马

　　FireWall

　　Virus

　　Anti

　　超级巡警

　　NOD32

　　安全

　　瑞星

　　抓包

　　监视

　　Sniffer

　　抓包

　　嗅探

　　DeBug

　　IDA

　　fly

　　主线程

　　微点

　　优化

　　专杀

　　使 用映像劫持手段使得多数安全软件不能够启动，无法为用户计算机系统提供安全保障，并且当用户试图启动安全软件时会触发病毒；拷贝自身到% SystemRoot%目录下，重命名为“system32StopAorw.exe”，修改文件属性为“隐藏”、“系统”；修改如下注册表健值实现开机 自启动以及隐藏属性的病毒文件不可见；

　　Quote:

　　项：HKLMSOFTWAREMICROSOFTWindowsCURRENTVERSIONPoliciesExplorerRUN

　　健值：Mouie

　　指向数据：%SystemRoot%system32StopAorw.exe

　　项：HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

　　健值：Hidden

　　指向数据：02

　　项：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

　　健值：CheckedValue

　　指向数据：00

　　通过枚举注册表得到“IEXPLORE.EXE”的路径，后台调用该浏览器访问网址“http://www.**.com/tj.htm”进行访问次数统计，每隔“900000ms”访问其他恶意网址下载多数盗号木马到本地执行。

　　安全提示

　　已安装使用微点主动防御软件的用户，无须任何设置，微点主动防御将自动保护您的系统免受该病毒的入侵和破坏。无论您是否已经升级到最新版本，微点主动防御都能够有效清除该病毒。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您发现“未知木马”，请直接选择删除处理；

　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现"Trojan-Downloader.Win32.Delf.odd”，请直接选择删除。

　　对于未使用微点主动防御软件的用户，微点反病毒专家建议：

　　1、不要在不明站点下载非官方版本的软件进行安装，避免病毒通过捆绑的方式进入您的系统。

　　2、尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。