病毒在此时的传播量和处理的技术难度都不大。

　　 然而在病毒作者经过长达一年的辛勤工作--数据表明，病毒作者几乎每两天就会更新一次病毒--之后，并吸取了其他病毒的特点（例如臭名昭着的AV终结者，攻击破坏安全软件和检测工具），结合了目前病毒流行的传播手段，逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。点击下载专杀工具

　　传播性

　　1）在网站上挂马，在用户访问一些不安全的网站时，就会被植入病毒。这也是早期磁碟机最主要的传播方式；

　　2）通过U盘等移动存储的Autorun传播，染毒的机器会在每个分区（包括可移动存储设备）根目录下释放autorun.inf和pagefile.pif两个文件。达到自动运行的目的。

　　3）局域网内的ARP传播方式，磁碟机病毒会下载其他的ARP病毒，并利用ARP病毒传播的隐蔽性，在局域网内传播。值得注意的是：病毒之间相互利用，狼狈为奸已经成为现在流行病的一个主要趋势，利用其它病毒的特点弥补自身的不足。

　　隐蔽性

　　1）传播的隐蔽性：从上面的描述可以看出，病毒在传播过程中，所利用的技术手段都是用户，甚至是杀毒软件无法截获的。

　　2）启动的隐蔽性：病毒不会主动添加启动项（这是为了逃避系统诊断工具的检测，也是其针对性的体现），而是通过重启重命名方式把C：\下的XXXX.log文件（XXXX是一些不固定的数字），改名到"启动"文件夹。重启重命名优先于自启动，启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的，使得当前大多数杀毒软件无法有效避免病毒随机启动。

　　针对性

　　1）关闭安全软件，病毒设置全局钩子，根据关键字关闭杀毒软件和诊断工具

　　关键字举例：360safe、Escan、瑞、金山、防、SREng、升、木、KV、 诊、工具、ARP、微点、Firewall、扫描、Mcagent、Metapad ……

　　另外，病毒还能枚举当前进程名，根据关键字Rav、avp、kv、kissvc、scan…来结束进程。

　　2）破坏文件的显示方式，病毒修改注册表，使得文件夹选项的隐藏属性被修改，使得隐藏文件无法显示，逃避被用户手动删除的可能

　　3）破坏安全模式，病毒会删除注册表中和安全模式相关的值，使得安全模式被破坏，无法进入；为了避免安全模式被其他工具修复，病毒还会反复改写注册表。

　　4）破坏杀毒软件的自保护，病毒会在C盘释放一个NetApi00.sys的驱动文件，并通过服务加载，使得很多杀毒软件的监控和主动防御失效，目的达到后，病毒会将驱动删除，消除痕迹。

　　5）破坏安全策略，病毒删除注册表HKLM\SoftWae\Plicies\Microsoft\Windows\Safer键和子键。并会反复改写。

　　6）自动运行，病毒在每个硬盘分区根目录下生成的autorun.inf和pagefile.pif，是以独占式打开的，无法直接删除。

　　7）阻止其他安全软件随机启动，病毒删除注册表整个RUN项和子键。

　　8）阻止使用映像劫持方法禁止病毒运行，病毒删除注册表整个Image File Execution Options项和子键。

　　9）病毒自保护，病毒释放以下文件：

　　%Systemroot%\system32\Com\smss.exe

　　%Systemroot%\system32\Com\netcfg.000

　　%Systemroot%\system32\Com\netcfg.dll

　　%Systemroot%\system32\Com\lsass.exe

　　随后smss.exe和lsass.exe会运行起来，由于和系统进程名相同（路径不同），任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后，会立即再次启动；如果启动被阻止，病毒就会立即重启系统。

　　10）对抗分析检测，病毒不会立即对系统进行破坏。而会在系统中潜伏一段时间之后，再开始活动。这样的行为使得无法通过Installwatch等系统快照工具跟踪到病毒的行为。

　　危害性

　　1）病毒会自动下载自己的最新版本，和其他一些木马到本地运行

　　2）病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳。

　　3）盗取用户虚拟资产和其他有用信息

　　用户环境的表现

　　1）杀毒软件和安全工具无法运行

　　2）进入安全模式蓝屏

　　3）由于Exe文件被感染，重装系统无效

　　4）用户信息丢失，甚至有些程序无法使用