木马执行时，它会创建下列文件：

%UserProfile%\Application Data\Microsoft\Windows\svchost.exe

该木马会创建以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPo
licy\StandardProfile\AuthorizedApplications\List\"%UserProfile%\Application Data\Micros
oft\Windows\svchost.exe" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.ex
e:*:Enabled:Microsoft Windows Update"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"Win
dowsUpdate" = "%UserProfile%\Application Data\Microsoft\Windows\svchost.exe"

然后，木马修改以下注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
RK INTERFACE GUID]\"NameServer" = "127.0.0.1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\[NETWO
RK INTERFACE GUID]\"DhcpNameServer" = "127.0.0.1"

然后，木马会连接到下列远程地址：

[http://]hoseen45r.com/uplin[REMOVED]

[http://]62.75.221.37/uplin[REMOVED]

[http://]setpec14rs.com/uplin[REMOVED]

[http://]onetimes21s.com/uplin[REMOVED]

[http://]verification/worlds/test/index[REMOVED]

之后，木马还可以执行以下操作：

上传系统信息和恶意软件版本到远程地址、下载并执行文件、修改DNS服务器设置，将WEB流量全部重定向到一个假的网站，
企图窃取个人信息和财务信息

预防和清除：
　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。 
 

Infostealer.Rezbau
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Infostealer.Rezbau是一个木马，它在受感染计算机上窃取信息。

该木马通过垃圾邮件传播。

该木马执行时，会将自身复制到以下位置：

%UserProfile%\Startup\[THREAT FILE NAME].exe

它收集受感染计算机的以下信息：

CPU信息、主机名、安装的程序、操作系统信息、启动信息、时区、用户名、截屏

然后，木马将收集的信息发送到以下远程地址：

46.166.162.147

46.4.69.25

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新
功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。 

Trojan.Premele
警惕程度★★★
影响平台：Win 9X/ME/NT/2000/XP/Server 2003
病毒执行体描述：
　　　Trojan.Premele是一个木马，它下载潜在的恶意文件到受感染计算机。

木马通过一个假的Adobe Flash升级程序，被点击确认升级后，下载到电脑并执行。

木马执行时，它会创建下列文件：

%AllUsersProfile%\ms[RANDOM LETTERS FILE NAME].exe

该木马会创建以下注册表项，达到开机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\"276
77" = "%Windir%\docume~1\alluse~1\ms[RANDOM LETTERS FILE NAME].exe"

然后，木马修改以下注册表项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"TaskbarN
oNotification" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"HideSCAH
ealth" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"HideSCA
Health" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"Taskbar
NoNotification" = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\"Start" = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\"Start" = "4"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\"Start" = "4"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA"
 = "0"

然后，木马会连接到下列远程地址：

[http://]premium.zam99.com/google_checkout/library/and/gate

[http://]premium.1981tokyo.com/google_checkout/library/and/gate

[http://]premium.zeez-shock.com/google_checkout/library/and/gate

之后，木马还可以下载潜在的恶意文件到受感染的计算机。

预防和清除：

　　不要点击不明网站；打开不明邮件附件；定时经常更新杀毒软件病毒数据库，最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能，关闭允许远程连接电脑的功能。安装最新的系统补丁。