行为表现：
1， 建立与U盘中文件夹同名的exe文件，大小为1.44m。
2，释放文件c:\windows\system32-com.run，dp1.fne，eAPI.fne，internet.fne，krnln.fnr，og.dll，og.EDT，RegEx.fnr，shell.fne，spec.fne，ul.dll，XP-3196B69A。EXE样本不全，只是截获到一部分功能。
3， XP-3196B69A.EXE是一个下载者，运行都首先打开同名的文件夹，之后添加启动项
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ 　　　.lnk
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
都是指向C:\WINDOWS\system32\XP-3196B69A.EXE
4，下载伪装成gif的exe程序53dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4c8%4L8$3y4S2L8X3&6G2L8U0t1#2x3q4)9J5k6h3y4G2L8g2)9J5k6h3y4F1i4K6u0r3K9g2)9J5k6h3N6A6k6W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.
5，打开钓鱼网站1adK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3E0D9k6r3y4Y4i4K6u0W2j5$3&6Q4x3V1k6C8i4K6u0W2K9s2c8E0L8q4)9K6c8X3#2A6k6q4)9K6c8o6t1K6x3o6W2Q4c8f1k6Q4b7V1y4Q4z5p5x3`.

解决办法：
用FileForceKiller清除上述文件，删除注册表的相关启动项。

病毒样本下载

[培训]科锐逆向工程师培训第53期2025年7月8日开班！