在指定服务器地址下载病毒体到本机运行，并利用间谍软件掩藏自身,并关闭任务管理器进程，修改IE首

页。该病毒会造成用户电脑极度缓慢。
 
行为分析： 
 1、衍生下列副本与文件

%Windir%\ abc.exe
%Windir%\update.exe
%Windir%\update24.exe
%Windir%\toolsp.exe
%Windir%\cc123.dll
%System32%\alsmt.exe
%System32%\albus.dll
%System32%\alstd.dat
%System32%\stdplay.dll
%System32%\stdstub.dll
%System32%\stdupnet.dll
%System32%\stdvote.dll
%System32%\ybzwkdjnrfvijev.dll
%System32%\dirvers\spoclsv.exe
%System32%\dirvers\Albus.SYS

2、新建注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\svcshare
键值: 字符串: "%WINDOWS%\system32\drivers\spoclsv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\System键值: 字符串: "%Program Files%\Common Files\System\Updaterun.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce\alsmt.exe键值: 字符串: "%WINdir\system32\alsmt.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}

\InprocServer32\@
键值: 字符串: "C:\WINDOWS\system32\ybzwkdjnrfvijev.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}

\InprocServer32\ThreadingModel键值: 字符串: "Apartment"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Browser Helper Objects\{D3341007-C77C-4F1C-B2A5-D94D5BE55F7E}\

3、更改注册表键值：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
\Main\Start Page
新: 字符串: "http://www.6781.com/"
旧: 字符串: http://www.microsoft.com/isapi/redir.dll
?prd=ie&pver=6&ar=msnhome
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url1
新: 字符串: "http://count18.51yes.com/click.aspx
?id=189150228&logo=1"
旧: 字符串: "http://www.microsoft.com/isapi/redir.dll
?prd=ie&pver=6&ar=msnhome"

3、访问指定服务器地址下载病毒体：

服务器地址下载文件

no.sinabc.net(61.152.116.132)abc1.exe
www.tsdown.cn(58.220.232.90)abc.exe
rz.adonga.cn(61.152.116.132)31505.dat

4、打开指定页面，获取更新IP

http://www.krvkr.com/ip/ip3.htm

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。

Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是

C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。