病毒行为：
这是个从网上下载病毒文件的下载器，并可以通过移动存储介质传播。

1、复制自身为：%system%\moviemk.exe

2、创建一个服务：
Name：Medie Sariel Number Services
DisplayName：Medie Sariel Number Services
ImagePath：%system%\moviemk.exe
相关键值如下：
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\Type SUCCESS 0x110
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\Start 0x2
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\ErrorControl 0x0
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\ImagePath "%system%\moviemk.exe"
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\DisplayName "Medie Sariel Number Services"
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\Security\Security 01 00 14 80 90 00 00 00 ...
HKLM\System\CurrentControlSet\Services\Medie Sariel Number Services\ObjectName "LocalSystem"

3、搜索盘符为 E 到 O 的可移动磁盘，将自身复制为根目录下的文件Setup.pif，并在根目录下创建文件autorun.inf，autorun.inf的内容如下：
[autorun]
shellexecute=Setup.pif

4、对系统进程svchost.exe进行注入，通过svchost.exe来下载病毒文件，下载过程如下：
先从网址http://evil***.cn/m2.txt下载一个病毒下载地址列表文件到本地，然后从该列表中的地址来下载病毒文件并执行。