病毒别名：
处理时间：
威胁级别：★★
中文名称：
病毒类型：蠕虫
影响系统：Win9x / WinNT
病毒行为:
这是一个感染型蠕虫病毒。该病毒关闭一些杀毒软件和防火墙。然后扫描磁盘文件并感染可执行文件，造成硬盘指示灯狂闪，机子速度变慢的现象，由于频繁读写文件会使硬盘寿命减少。除此之外，该病毒从网上下载另一病毒，win32.Troj.Delf.fn.149836木马，该木马盗取各种密码，并打开后门，供别人盗取文件。该病毒通过弱口令进行传播，建议用户将计算机密码设长一点、复杂一点。

1，释放文件：
%SystemRoot%\Logo1_.exe。
%病毒目录%\virDll.dll，并注入explorer.exe进程。

2，下载木马
virDll.dll下载http://*********.net/**/1.exe（win32.Troj.Delf.fn.149836）到当前目录并执行。

3，感染文件
感染大小小于10M的*.exe可执行文件。
被感染文件执行后，在%Temp%生成bat文件和tmp文件（如$$a3.bat和$$a3.tmp），执行bat文件删除病毒自己，还原可执行文件。

4，不感染的文件夹：
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
\Program Files\
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone

5，添加注册表
HKLM\Software\soft\DownloadWWW\
"auto"="1" （VirDll.dll释放注入标志）

6，关闭下列进程
RavMon.exe
天网防火墙个人版
天网防火墙企业版
噬菌体
TfLockDownMain(窗体类名)
ZoneAlarm
eghost.exe
mailmon.exe
KAVPFW.EXE
KWatchUI.exe
IPARMOR.EXE

7，卸载软件
密码防盗专家

8，关闭服务
Kingsoft Antivirus Service

9，传播方式
ipc$,admin$共享服务，弱口令连接传播病毒。