通过挂马网站、U盘传播，对360、nod32等多种安全软件有针对性的破坏或劫持，下载大量木马病毒，破坏系统的一些功能，具有“机器狗病毒功能，能够破坏系统还原 。1、病毒运行后首先会将自身属性设置为“系统，隐藏，并判断当前同目录下是否存在autorun.inf文件，如果存在则打开当前病毒所在的盘符 。如果不存在autorun.inf文件，则设置该病毒本体在重启计算机后删除 。创建一个名为“MYLASTONE的互斥量，保证系统只有一个实例运行 。2、查找是否有ekrn.exe进程，如果有则执行如下指令cmd /c sc delete ekrncmd /c taskkill /im ekrn.exe /fcmd /c taskkill /im egui.exe /f查找是否有nod32krn.exe进程，如果有则执行如下指令cmd /c sc delete nod32krncmd /c taskkill /im nod32krn.exe /fcmd /c taskkill /im nod32gui.exe /f3、创建多个线程执行不同操作线程1：在临时文件夹下释放一个dll?.tmp的文件，并获取其导出表中的Rkdll函数地址，并加载该Dll文件线程2：检查%windir%system32dllcachelinkinfo.dll是否存在，如果不存在则将%windir%system32linkinfo.dll复制到%windir%system32dllcachelinkinfo.dll线程3：每隔30秒查找是否有360tray.exe这个进程，如果有则释放Fontssafeme.sys和Fontssafeg.sys这两个驱动 。查找360tray.exe，360Safe.exe，safeboxTray.exe，360safebox.exe的进程，得到它们的pid，并传给Fontssafeme.sys这个驱动，该驱动调用MmUnmapViewOfSection函数释放掉这些进程的内存，使他们退出 。加载Fontssafeg.sys这个驱动，并直接向该驱动发IRP删除C:Program Files360safesafemon360Tray.exe，D:Program Files360safesafemon360tray.exe，E:Program Files360safesafemon360tray.exe 。线程4：对avp.exe实行IFEO映像劫持，指向ntsd.exe;释放驱动fontsdansl.sys，该驱动为机器狗类驱动，直接在系统底层替换掉%windir%system32linkinfo.dll线程5：每隔30秒，向所有分区的根目录下释放autorun.inf和RGER.PIF 。Dll?.tmp文件功能：创建一个线程，结束如下进程360Safe.exe, 360tray.exe, safeboxTray.exe, 360rpt.EXE, kmailmon.exe,kavstart.exe,KAVPFW.EXE,kwatch.exe,kav32.exe,kissvc.exe,UpdaterUI.exe, TBMon.exe nod32kui.exe nod32krn.exe KASARP.exe FrameworkService.exe scan32.exe VPC32.exe VPTRAY.exe AntiArp.exe….并对上述大多数进程进行映像劫持 。停止如下服务：sharedaccessMcShieldKWhatchsvcKPfwSvcKingsoft Internet Security Common ServiSymantec AntiVirusnorton AntiVirus serverDefWatchSymantec AntiVirus Drivers ServicesSymantec AntiVirus Definition WatcherMcAfee Framework 服务Norton AntiVirus Server针对IceSword查找类名为AfxControlBar42s的窗口，先发送WM_CLOSE再发送VK_RETURN消息模拟按回车键关闭冰刃 。操作SOFTWAREMicrosoftWindowsCurrentVersionexploreradvancedfolderhiddenshowall使得显示隐藏文件不可用删除SOFTWAREMicrosoftWindowsCurrentVersionRun下面的360Safetray，360Safebox，360Safebox，vptray，ccApp相关键值 。删除SYSTEMCurrentControlSetControlSafeBootMinimal和SYSTEMCurrentControlSetControlSafeBootNetwork破坏安全模式查找avp.exe，找到后，遍历并卸载kavbase.kdl和webav.kdl这两个模块 。下载病毒和其他木马程序 。

推荐阅读

• 

  奇秀直播封停还能开吗 爱奇艺奇秀直播为什么被停
• 

  暑期社会实践个人总结
• 

  微信来电铃声可以改吗
• 

  我所了解的T39M
• 

  红米k20pro无线充电吗
• 

  魔兽世界战士怎么拿双手剑
• 

  异地恋的情侣七夕节怎么过
• 

  命令 CENTERLINE的介绍
• 

  养一亩泥鳅一年能挣多少钱 养殖泥鳅鱼一亩地有多少利润
• 

  b站怎么投稿？
• 

  干荷叶的功效与作用,干荷叶的功效与作用及食用禁忌
• 

  搞清蜜蜂消化原理,蜜蜂忙着给谁干什么
• 

  狗狗螨虫皮肤病怎么治
• 

  吃鸡掉线了怎么才能进去战场
• 

  高铁的红黄绿是什么，铁路信号灯中的红绿黄三色都代表什么意思
• 

  教你在咪咕音乐里查找客服的简单操作。

• 硬盘终结者病毒解决办法
• 桃小食心虫七月重防治
• 桃树七月份咋施肥
• 七月份蔬菜有哪些上市
• 为什么叫乞巧节
• 揭秘“AV终结者”病毒的生态链
• 阳历七月是什么星座
• 核桃树七月要防刺蛾为害
• 七月是什么星座它的标志是什么
• 七月节日名为什么