病毒行为：
这是一个黑客后门程序，病毒运行后会关闭Windows的一些安全服务，连接远程IRC服务器，使用户受控于黑客。

1、病毒运行后复制自身到%system%\lviss.exe,并运行，退出原病毒进程并删除文件。

2、修改注册表，添加名为Windows PE Debugger的服务，并设置其为开机自动启动。

3、创建如下注册表项及其子键，并将其驱动程序指向病毒刚刚创建的服务：

HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_WINDOWS_PE_DEBUGGER

4、修改如下注册表项，关闭及禁用Windows防火墙,关闭自动更新禁止安装sp2补丁,并禁用以下系统服务Security Center、Telnet、Remote Registry、Messenger，禁止匿名枚举用户、关闭系统默认共享：
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"EnableFirewall"=0x0
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
"AUOptions"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\wscsvc]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Start"=0x4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Services\Messenger]
"Start"=0x4
[HKLM\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=0x1
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=0x0
[HKLM\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"AutoShareServer"=0x0
[HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DoNotAllowXPSP2"=0x1

5、从网络上下载病毒文件到如下目录：
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\4LWVMRUT\a17[1].exe
C:\WINDOWS\TEMP\eraseme_25413.exe

6、连接远程IRC服务器的6667端口，等待黑客命令。