该木马程序被执行后,拷贝自身到C:\Documents and Settings\All Users\「开始」菜单\程序\启动目录下,以达到随机启动的目的;在目录%temp%目录下释放驱动~**.tmp,修改文件属性为隐藏、系统;调用SCM写注册表项将~**.tmp注册成名为sys_flt的服务,通过相关函数启动被注册的服务加载驱动,加载成功后使用API函数DeleteFileA将驱动文件~**.tmp删除;驱动加载后创建磁盘设备“\Device\yyy2”,创建目录对象“\Device\zzz”,通过函数DeviceIoControl调用相关控制码得到主DOS分区信息并获取设备号后关闭句柄;打开设备“\Device\yyy2”通过DeviceIoControl传递自身控制码8000F800访问物理磁盘,利用CopyFileA函数将启动组中的病毒文件拷贝到“\\.\yyy2”中,以达到突破还原卡的目的;访问恶意网站http://ing.xiaaooo.com/im/ctfmon.exe将其它病毒程序下载到本地C:\目录下并运行。
