这是个具有对抗功能的下载器程序。它会尝试关闭一些常见安全软件的进程,然后执行下载任务。同时,它还会修改IE首页为病毒作者指定的网址。
1. 检查是否存在avp.exe、360tray.exe,若存在则将其关闭
2. 释放自身的BIN资源到C:\Program Files\GG\GoSvr.exe,以自启动服务的方式为该文件创建服务并运行,该病毒的功能主要是创建线程为GG.exe创建进程
3. 释放自身的BIN资源到C:\Program Files\GG\GG.exe,该病毒的主要行为如下:
1) 从以下网址下载病毒并运行:
http://live.gglike.cn/install.exe
http://stat.myl23.com
2) 关闭360safe.exe、360tray、rfwmain.exe、kvsrvxp.exe、monxp.kxp等安全软件的进程
3) 设置首页为以下的其中一个:
http://www.k**f.com
http://www.8**9.com
http://www.9**2.cn
http://www.9**6.cn
4. 释放自身的BIN资源到C:\WINDOWS\webs,该文件用于记录当前首页和日期
5. 释放自身的BIN资源到C:\\Log\\QQ.dll,设定为开机启动,该病毒的功能如下:
1) 关闭360safe.exe、360tray、rfwmain.exe、kvsrvxp.exe、monxp.kxp等安全软件的进程
2) 设置首页为以下的其中一个:
http://www.k**f.com
http://www.8**9.com
http://www.9**2.cn
http://www.9**6.cn
6. 替换C:\WINDOWS\system32\bootvid.dll文件,该文件主要用于开机启动显示的画面