蠕虫病毒感染特点

① 运行第一次感染的可执行程序，并使用其感染程序图标，其后随着使用者运行感染程序而改变。

② 可执行程序被感染后，右键属性后发现“描述”内容被改变为：“Synaptics Pointing Device Driver”。

③ 被感染文件首次执行时会在同文件夹内新产生一个和感染文件同名且前缀为：“._cache_”的病毒文件。

④ 系统被感染后，对任何插入的U盘，都会被病毒搜索到，并立即采取遍历可执行文件的方式感染。成为新的感染源，使用者在不知不觉中，只要在其它电脑上运行U盘中的程序，就会感染其它电脑。

⑤ 病毒只感染可执行文件，无法感染压缩文件。

⑥ 病毒首次在硬盘或U盘被触发传染时，硬盘灯或U盘指示灯会狂闪（说明在病毒在疯狂感染文件，也就是写文件的过程），同时会莫名弹窗提示文件没有权限，这可能是病毒Bug，也是提醒我们系统已经异常的警报。

⑦ 其在注册表中创建2个启动项：

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Shared Tools¥MSConfig¥startupreg¥mydesk]

“key”=”SOFTWARE¥¥Microsoft¥¥Windows¥¥CurrentVersion¥¥Run”

“item”=”mydesk”

“hkey”=”HKCU”

“command”=”C:¥¥Users¥¥WWH¥¥Desktop¥¥mydesk 1.0.7.0¥¥mydesk.exe”

“inimapping”=”0”

“YEAR”=dword:000007e4

“MONTH”=dword:00000004

“DAY”=dword:00000002

“HOUR”=dword:00000017

“MINUTE”=dword:0000001e

“SECOND”=dword:0000001e

[HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Shared Tools¥MSConfig¥startupreg¥Synaptics Pointing Device Driver]

“key”=”SOFTWARE¥¥Wow6432Node¥¥Microsoft¥¥Windows¥¥CurrentVersion¥¥Run”

“item”=”Synaptics Pointing Device Driver”

“hkey”=”HKLM”

“command”=”C:¥¥ProgramData¥¥Synaptics¥¥Synaptics.exe”

“inimapping”=”0”

“YEAR”=dword:000007e4

“MONTH”=dword:00000004

“DAY”=dword:00000002

“HOUR”=dword:00000017

“MINUTE”=dword:0000001e

“SECOND”=dword:0000001e