病毒行为：
该病毒是一个会窃取用户信息的木马，并且受感染机器会对指定的机器进行攻击，
建议电脑用户不要随便运行不名来历的文件，以免中毒受害。

1、生成的文件
%SystemRoot%\system32\Server.exe

2、NT系统下安装服务实现自启动，9x系统添加注册表启动
HKLM\System\CurrentControlSet\Services\MessageForBox
"Type" = "0x110"
HKLM\System\CurrentControlSet\Services\MessageForBox
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\MessageForBox
"ImagePath" = "C:\WINNT\system32\Server.exe -NetSata"
HKLM\System\CurrentControlSet\Services\MessageForBox
"DisplayName" = "Windows MessengerBox"
HKLM\System\CurrentControlSet\Services\MessageForBox
"Description" = "计算机磁盘管理"

3、调用CMD执行清除系统日志的命令
/c del %SystemRoot%\\*.log
/c del %SystemRoot%\\*.txt
/c del %SystemRoot%\\system32\\*.log
/c del %SystemRoot%\\system32\\*.txt

4、按照http://www.looksoft.**/ip.txt文件内容，对其指定的机器进行DDOS攻击。
ip.txt内容
-------------------------------
ddosvip220.170.***.10:82edd
-------------------------------

5、关闭下列名称进程
PasswordGuard.exe
KVXP.KXP
KVMonXP.KXP
Symantec AntiVirus 企业版
江民杀毒软件 KV2006：实时监视
RavMon.exe
RavMonClass
TfLockDownMain
ZoneAlarm
ZAFrameWnd
天网防火墙个人版
Tapplication
天网防火墙企业版
TForm1
噬菌体
木马克星
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
Sphinx.exe
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
kvsrvxp.exe
trojdie.kxp
kvmonxp.kxp
kregex.exe
kvsrvxp.exe

6、在原病毒目录下生成_deleteme.bat文件实现自删除。