本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.运行将自身文件属性改为隐藏系统 2.判断是否从autorun.inf打开，是的话获取当前打开的路径盘符，通过ShellExecuteA打开

行为分析：
这是一个木马下载器程序。它拥有很强的对抗能力，在破坏安全软件后，就会开始下载大量木马

描述：
1.运行将自身文件属性改为隐藏系统

2.判断是否从autorun.inf打开，是的话获取当前打开的路径盘符，通过ShellExecuteA打开

3.将自身提升为SeDebugPrivilege权限，释放文件C:Program Filessiam.pif改写其文件属性为隐藏系统，并运行该文件。



4.删除C:Program Filessiam.pif和c:om.dll文件





5.创建线程

在%temp%目录下释放文件dllxxx.tmp(xxx为随机数字)，调其导出函数RundllMe.



6.创建线程

将dllcache中的linkinfo.dll复制到%sys32dir%下

释放rsvts.sys文件到%windir%fonts下穿还原改写文件%sys32dir%aaaamon.dll(但没有成功)



7.创建线程

当发现当前进程中存在360tray.exe时，释放KLPP.sys文件到%windir%fonts下

注册服务后，将自身文件KLPP.SYS删除，通过调用PsTerminateSystemThread，NtTerminateJobObject，

NtTerminateProcess，结束360tray.exe

HKLMSOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exe

"path" REG_SZ

获取360的安装路径

创建文件夹C:Program Files360360Safesafemonusp10.dll站坑

将"C:Program Files360360Safesafemon"目录改为"C:Program Files360360Safemonsafe"





8.创建线程

释放lstis.sys文件到%windir%fonts下穿还原改写文件%sys32dir%linkinfo.dll，将dllxxx.tmp覆盖linkinfo.dll文件。



9.创建线程

循环在各盘下创建autorun.inf和对应的JC.PIF





10.dllxxx.tmp（dllxxx.tmp伪造RX的版本信息）

结束多款杀软的进程，删除文件



11.siam.pif文件

a.释放文件c:om.dll

b.通过ShellExecuteA调用rundll32.exe来调om.dll的导出函数RundllTest



12.om.dll文件

导出函数RundllTest

a.释放驱动文件%windir%Fontslmmt.sys

b.开启服务，回复SSDT，删除文件和服务。