Win32.VirInstaller.Agent.zz.114688

这是一个远程木马程序。它会采用一些绿色小工具的图标，欺骗用户下载安装。运行起来后就连接远程黑客服务器，等待黑客的非法访问。

在磁盘中释放出以下文件:
C:\WINDOWS\TEMP\E_00000004
C:\WINDOWS\TEMP\E_00000004\krnln.fnr
C:\WINDOWS\TEMP\E_00000004\shell.fne
C:\WINDOWS\TEMP\E_00000004\eAPI.fne
C:\WINDOWS\TEMP\E_00000004\internet.fne
C:\WINDOWS\TEMP\E_00000004\spec.fne
C:\WINDOWS\TEMP\E_00000004\RegEx.fne
C:\WINDOWS\TEMP\E_00000004\dp1.fne
C:\WINDOWS\TEMP\E_00000004\com.run

会从以下注册表中读取信息:
"HKCU\Software\Microsoft\Windows Script Host\Settings"
"HKLM\Software\Microsoft\Windows Script Host\Settings"

病毒会连接作者指定的网址:
域名:"ch***nt.cn" 端口:80 (IP)
ch***nt.cn/task.asp?mac=00095b2540e0