這是一個使用[Borland C++]編寫的病毒。系統被感染后，打開IE或者其他瀏覽器起始頁面被篡改為hxxp://wxw.3448.c0m/。

病毒通過API HOOK自我保護。通過其他惡意程序或者自身下載升級下載并得到執行，使用隨機文件名達到屏蔽文件名清除模式。

病毒運行后有以下行為：

一、病毒通過修改注冊表Softwaremicrosoftwindowscurrentversion un達到開機自動運行的目的。

病毒主要通過Rundll32.exe加載。

病毒還感染Tencent QQ的TimProxy.dll文件的導入表，可以在用戶啟動QQ的時候加載。

加載后使用消息鉤子注入各進程，并根據進程名做不同的動作。

主要有：

1、HOOK進程API，自我保護。

2、注入在QQ.EXE進程中的，僅做修改注冊表的動作。

3、注入在EXPLORER.EXE進程中的病毒主要做一下動作。

(1)主要破壞注冊表SafeBoot鍵，導致無法進入安全模式。

(2)下載文件并通過文件類型更新，運行或者替換HOSTS文件。

(3)感染Tencent QQ的TimProxy.dll文件的導入表。

二、通過Rundll32.exe加載的病毒，會把自己復制到系統目錄(%SYSTEMDIR%)和驅動目錄(%SYSTEMDIR%Drivers)。

三、修改注冊表以下鍵值：

注冊表鍵：SoftwareMicrosoftInternet ExplorerMain

數據項："Start Page"

數據值為："

注冊表鍵：SoftwareMicrosoftInternet ExplorerSearch

數據值為："

注冊表鍵：SoftwareMicrosoftInternet ExplorerSearch

數據值為："

四、搜索進程名或者窗口文字包含以下字符串的進程，發現后關閉計算機。