病毒行为：
该病毒是一个文件间谍木马。它会查找并调用rar.exe程序将指定文件打包并加密，如果找不到rar.exe程序则自身在系统目录下释放一个2.0版本rar.exe。使得用户不能正常使用这些加密的文件。同时该病毒还会通过u盘传播。建议电脑用户升级病毒库查杀该病毒，以免中毒受害。

1、生成的文件
%SystemRoot%\java\classes\java.dll
%SystemRoot%\system32\kernel32.sys
%SystemRoot%\system32\mfc48.dll

2、注册CLSID组件
HKCR\CLSID\{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}
"(Default)" = "Java Class"
HKCR\CLSID\{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}\InprocServer32
"(Default)" = "%SystemRoot%\java\classes\java.dll"

3、添加浏览器辅助对象
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}
"(Default)" = ""

4、添加启动项，随系统进程启动
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = "kernel32.sys"

5、加压密码为：dk407814.

手工清除病毒：
（1）使用icesword结束explorer.exe和svchost.exe进程中的java.dll，kernel32.sys，mfc48.dll模块。
（2）删除该病毒添加的CLSID组件、BHO组件和将AppInit_DLLs启动内容清空。
（3）重起系统
（4）将该病毒生成的这三个文件删除即可。