病毒名：Worm.Pabug.ck

　　大小：38,132 字节

　　MD5：2391109c40ccb0f982b86af86cfbc900

　　加壳方式：FSG2.0

　　编写语言：Delphi

　　传播方式：通过移动介质或网页恶意脚本传播

　　经虚拟机中运行，与脱壳后OD分析结合，其行为如下：

　　文件创建：

　　%systemroot%system32gfosdg.exe

　　%systemroot%system32gfosdg.dll

　　%systemroot%system32severe.exe

　　%systemroot%system32driversmpnxyl.exe

　　%systemroot%system32driversconime.exe

　　%systemroot%system32hx1.bat

　　%systemroot%system32noruns.reg

　　X:OSO.exe

　　X:autorun.inf

　　X指非系统盘符

　　%systemroot%是环境变量，对于装.在C盘的Windows XP系统，默认路径为C:WINDOWS文件夹，以下以此假设进行分析。

　　创建进程：

　　%systemroot%system32gfosdg.exe

　　%systemroot%system32severe.exe

　　%systemroot%system32driversconime.exe

　　使用net stop命令，结束可能存在的杀毒软件服务

　　调用sc.exe，

　　config [对应服务] start=disabled

　　禁用这些服务

　　被结束和禁用的服务包括：

　　srservice

　　sharedaccess（此即系统自带防火墙——笔者注）

　　KVWSC

　　KVSrvXP

　　kavsvc

　　RsRavMon

　　RsCCenter

　　其中，在结束瑞星服务.的过程中，由于瑞星会弹出提示，病毒作了相应处理：

　　用FindWindowA函数，捕捉标题为"瑞星提示"的窗口

　　用FindWindowExA函数，找到其中“是(&Y)”的按钮

　　用SendMessageA函数向系统发送信息，相当于按下此按钮

　　禁止或结束以下进程运行，包括但不限于：