病毒行为：
该病毒是一个后门程序。该病毒会利用系统漏洞及用户弱口令感染其他连网的机器，
并留后门供黑客控制受感染机器。

1、生成的文件
%SystemRoot%\system32\xebmon.exe

2、添加系统服务，随机器启动
HKLM\System\CurrentControlSet\Services\xebmon
"Type" = "0x110"
HKLM\System\CurrentControlSet\Services\xebmon
"Start" = "0x2"
HKLM\System\CurrentControlSet\Services\xebmon
"ImagePath" = "%SystemRoot%\system32\xebmon.exe"
HKLM\System\CurrentControlSet\Services\xebmon
"DisplayName" = "xebmon"

3、该病毒会扫描并连接网络中的ipc$等共享。

4、该病毒会收集感染机器信息。

5、修改%SystemRoot%\system32\drivers\etc\hosts文件
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.ahnlab.com
127.0.0.1 suc.ahnlab.com
127.0.0.1 auth.ahnlab.com
127.0.0.1 ahnlab.com

6、该病毒会生存并运行uninstall.bat批处理文件实现自删除。