这是一个使用[Borland C++]编写的病毒。系统被感染后，打开IE或者其他浏览器起始页面被篡改为http://wxw.3448.com/。 字串1

病毒通过API HOOK自我保护。通过其他恶意程序或者自身下载升级下载并得到执行，使用随机文件名达到屏蔽文件名清除模式。

字串8

病毒运行后有以下行为：

一、病毒通过修改注册表Softwaremicrosoftwindowscurrentversion un达到开机自动运行的目的。 字串7

病毒主要通过Rundll32.exe加载。 字串4

病毒还感染Tencent QQ的TimProxy.dll文件的导入表，可以在用户启动QQ的时候加载。 字串2

加载后使用消息钩子注入各进程，并根据进程名做不同的动作。 字串4

主要有： 字串7

1、HOOK进程API，自我保护。 字串4

2、注入在QQ.EXE进程中的，仅做修改注册表的动作。 字串8

3、注入在EXPLORER.EXE进程中的病毒主要做一下动作。 字串1

(1)主要破坏注册表SafeBoot键，导致无法进入安全模式。 字串7

(2)下载文件并通过文件类型更新，运行或者替换HOSTS文件。 字串1

(3)感染Tencent QQ的TimProxy.dll文件的导入表。 字串9

二、通过Rundll32.exe加载的病毒，会把自己复制到系统目录(%SYSTEMDIR%)和驱动目录(%SYSTEMDIR%Drivers)。 字串4

三、修改注册表以下键值： 字串9

注册表键：SoftwareMicrosoftInternet ExplorerMain 字串8

数据项："Start Page"

数据值为："http://www.3448.com" 字串2

注册表键：SoftwareMicrosoftInternet ExplorerSearch

数据项："CustomizeSearch" 字串4

数据值为："http://www.3448.com"

注册表键：SoftwareMicrosoftInternet ExplorerSearch

字串9

数据项："SearchAssistant" 字串6

数据值为："http://www.3448.com" 字串3

四、搜索进程名或者窗口文字包含以下字符串的进程，发现后关闭计算机。