PE文件被加未知压缩壳。

　　采用Microsoft Visual C++ 6.0编写

　　脱壳后程序入口点为：00040114

　　脱壳前文件大小为：259,065 字节

　　脱壳后文件大小为：270,336 字节

　　病毒查看了注册表中的此项：

　　SYSTEMControlSet001ControlNetwork{4D36E972-E325-11CE-BFC1-08002BE10318}Descriptions

　　会判断注册表中是否存在这个项：

　　AMD PCNET Family PCI Ethernet Adapter

　　在病毒运行的根目录下所生成的文件：

　　Uninst.bat

　　配置文件，内容为“abc”：

　　c:a.txt

　　病毒生成和释放的文件(如果想手动查杀这个病毒的话，可以去直接删除这些病毒所生成的文件)：

　　C:windowsHelpaclui64.chm->(这是一个驱动文件，只是改名为chm文件来保存，防止被发现。文件大小为：3,217 字节)

　　C:WINDOWSsystem32attribute.dll->(病毒释放出来的恶意DLL组件文件，文件大小为：131,072 字节)

　　C:WINDOWSsystem32vmregctl64.dll->(病毒释放出来的恶意DLL组件文件，文件大小为：49,152 字节)

　　C:Program FilesCommon FilesMicrosoft SharedDAODBC360.DLL->(病毒自我复制到这里，其实就是“a.exe”文件，只是改名为DLL文件来保存，防止被发现。文件属性设置为：隐藏、存档)

　　病毒“a.exe”运行后，会将恶意可执行代码注入到系统“explorer.exe”进程中调用执行。然后会定时在被感染计算机系统的后台与骇客指定远程服务器站点“www.jxalu.com”和“www.cobras.cn”进行通信(网址在病毒文件体内是加密保存的)。因为该后门兼容性不是很好，在大部分计算机系统中运行时会出现蓝屏现象(调用CreateWindowExA时蓝屏)，所以无法在真实环境下模拟分析出后门的详细工作原理。