文件名：explorer.exe

　　文件大小：954K

　　MD5值：e89e8f1ab469a56342f823831cd9a

　　瑞星20.29.30扫此样本————不报毒。

　　在桌面上运行病毒文件后，病毒explorer.exe先运行dllcache文件夹中的explorer.exe；然后访问网络202.106.195.29、222.191.251.214、59.60.154.154、59.60.152.22、222.191.251.214。

　　在IE临时文件夹内创建O5PB3DVNggg[1].txt

　　在当前用户临时文件夹内创建~F*.tmp

　　在c:windowssystem32drivers目录下创建：

　　192yuioealdjfiefjsdfa2s.txt

　　2a.exe

　　2a.txt

　　3a.exe

　　3a.txt

　　.

　　.

　　.

　　25a.exe

　　25a.txt

　　此后，在system32文件夹释放“随机字母.dll”病毒文件若干。

　　结束掉原位运行的病毒进程explorer.exe，删除病毒DLL。完事。

　　初步观察，扫清战场后，采取如下措施：

　　XP专业版，在原来预防“机器狗”的“软件限制策略”基础上（http://forum.ikaka.com/topic.asp?board=28&artid=8422763），再添加两条路径策略，禁止c:windowssystem32drivers*.exe和*.dll即可完全防住这个机器狗新变种。

　　增加上述软件限制策略后，再次运行这个样本，病毒的上述活动过程均以失败告终。

　　此后，Tiny防火墙的监控记录中可见远程IP：222.222.27.11试图通过80端口访问系统，但均被Tiny一一拦截掉了。

　　查看SRENG日志，无异常。

　　至此，结束掉原位运行的病毒进程explorer.exe。完事。