病毒行为：
        1、文件运行后，将自己以随机八位十六制数重命名，并复制到system32目录：
　　　　　 %System%\随机十六制数.EXE       19,215(字节)
　　　　　 %System%\随机十六制数.dll       69,632(字节)
        2、将生成的EXE文件以八位随机十六制数为服务名注册为系统服务
        3、将生成的DLL文件注入到系统中所有进程
        4、下载文件http://lm.9cdn.com/*****/update.txt，如图：
　　　　　　
　　　　　 程序会根据以上配置文件下载相关恶意程序，该程序与前一阵的AV终结者相似，都使用八位的随机数，但是此程序的　　　　　 主程序并不会对安全工具进行映像劫持。它下载的其他恶意程序中才会对安全工具进行映像劫持。

　　     1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
　　     2、根据实际安全级别需要适当考虑选用防火墙，并进行正确的设置。
　　     3、使用超级巡警的补丁检查功能，及时安装系统补丁。
　　     4、不要随意共享文件或文件夹，共享前应先设置好权限，另外建议共享文件不要设置为可写或可控制。
　　     5、禁用或删除不必要的的帐号，对管理员帐号设置一个强壮的密码。
　　     6、禁用不必要的服务。
　　     7、及时更新常用软件，尤其是聊天工具。
　　     8、不要使用IE内核的浏览器。
　　     9、不要随便打开不明来历的电子邮件，尤其是邮件附件。
　　     10、不要随意下载不安全网站的文件并运行。

注： %System% 是一个可变路径，在windows95/98/me中该变量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中该变
　　 量指%Windir%\System32。其它：
　　     %SystemDrive% 　　     　　 系统安装的磁盘分区
　　     %SystemRoot% = %Windir% 　　WINDODWS系统目录
　　     %ProgramFiles%　 　 　　　　应用程序默认安装目录
　　     %AppData% 　　     　　     应用程序数据目录
　　     %CommonProgramFiles%　　    公用文件目录
　　     %HomePath% 　　     　　    当前活动用户目录
　　     %Temp% =%Tmp% 　　     　　 当前活动用户临时目录
　　     %DriveLetter% 　　     　　 逻辑驱动器分区
　　     %HomeDrive% 　　　     　　 当前用户系统所在分区