该恶意广告程序被激活后,在%systemroot%\system32下生成aticheck.exe和videospd.dll文件,在%systemroot%\system32\drivers下生成一个驱动文件,该文件的文件名由八位随机字母组成(如:MGLZISWN.SYS);然后病毒替换桌面及任务栏中的IE快捷方式,使得用户运行IE时打开的主页为“www.kzxf.net”;接着通过调用SCM(服务管理器)写注册表,将dceboinw.sys注册成启动方式为“boot”的同名系统驱动程序,并将驱动添加到“System Bus Extender”组中,所以其加载方式优先于常规设备驱动程序,并调用SCM加载驱动,锁定广告程序其他进程无法被用户结束;之后病毒将从网络上下载文件并将它保存到C盘根目录下命名为tmp.dup,用于向外部数据库中写入用户信息,包括:MAC地址,IP地址等信息;接着利用一个批处理将自己删除。添加注册表启动项启动待重启后自动运行ATICheck.exe,ATICheck.exe激活Rundll32.exe加载VideoSpd.dll发包进行刷流量。
驱动被加载后,通过修改SSDT中系统服务ZwSetValueKey的入口地址,使得用户无法设置病毒相关注册表键值,从而无法清除病毒。
