¤ì°¨¡A¤S¦W¯S¬¥¥ì¤ì°¨¡A¨ä¦WºÙ¨ú¦Û¥j§Æþ¯«¸Üªº¯S¬¥¥ì¤ì°¨°O¡A¥¦¬O¤@ºØ°ò¤_»·µ{±±¨îªº¶Â«È¤u¨ã¡A¨ã¦³«Ü±jªºÁô½ª©Ê©M¦M
®`©Ê¡C¬°¤F¹F¨ì±±¨îªA°ÈºÝ¥D¾÷ªº¥Øªº¡A¤ì°¨©¹©¹­nªö¥Î¦UºØ¤â¬q¹F¨ì¿E¬¡¦Û¤v¡B¥[¸ü¹B¦æªº¥Øªº¡CÅý§Ú­Ì¤@°_¨Ó¬Ý¬Ý¤ì°¨±`
¥Îªº¿E¬¡¤è¦¡¡C 

¦bWin.ini¤¤±Ò°Ê 
¦bWin.iniªº[windows]¦r¬q¤¤¦³±Ò°Ê©R¥O¡§load=¡¨©M¡§run=¡¨¡A¦b¤@¯ë±¡ªp¤U¡§=¡¨¦Z­±¬OªÅ¥Õªº¡A¦pªG¦Z­±¸òµÛµ{§Ç¡A¤ñ¦p¡G 

run=c:\windows\file.exe 
load=c:\windows\file.exe 

³o­Ófile.exe«Ü¥i¯à´N¬O¤ì°¨µ{§Ç¡I 

­×§ï¤å¥óÃöÁp 
­×§ï¤å¥óÃöÁp¬O¤ì°¨­Ì±`¥Î¤â¬q¡]¥D­n¬O°ê²£¤ì°¨¡A¦Ñ¥~ªº¤ì°¨¤j³£¨S¦³³o­Ó¥\¯à¡^¡A¤ñ¤è»¡¥¿±`±¡ªp¤UTXT¤å¥óªº¥´¶}¤è¦¡
¬°Notepad.exe¤å¥ó¡A¦ý¤@¥¹¤¤¤F¤å¥óÃöÁp¤ì°¨¡A«hTXT¤å¥ó¥´¶}¤è¦¡´N·|³Q­×§ï¬°¥Î¤ì°¨µ{§Ç¥´¶}¡A¦pµÛ¦Wªº°ê²£¤ì°¨¦Bªe¡C
¡§¦Bªe¡¨´N¬O³q¹L­×§ïHKEY_CLASSES_ROOT\txtfile\shell\open\command¤UªºÁä­È¡A±N¡§C:\WINDOWS\NOTEPAD.EXE %1¡¨§ï¬°
¡§C:\WINDOWS\SYSTEM\SYSEXPLR.EXE %1¡¨¡A³o¼Ë·í§AÂùÀ»¤@­ÓTXT¤å¥ó¡A­ì¥»À³¥ÎNotepad¥´¶}¸Ó¤å¥óªº¡A²{¦b«oÅܦ¨±Ò
°Ê¤ì°¨µ{§Ç¤F¡A¦n¬½¬r®@¡I½Ð¤j®aª`·N¡A¤£¶È¶È¬OTXT¤å¥ó¡A¨ä¥L½Ñ¦pHTM¡BEXE¡BZIP¡BCOMµ¥³£¬O¤ì°¨ªº¥Ø¼Ð¡A­n¤p¤ß
¹Æ¡C¹ï¥I³oÃþ¤ì°¨¡A¥u¯à¸g±`ÀˬdHKEY_CLASSES_ROOT\¤å¥óÃþ«¬\shell\open\command¥DÁä¡A¬d¬Ý¨äÁä­È¬O§_¥¿±`¡C 

®¹¸j¤å¥ó 
¹ê²{³oºØIJµo±ø¥ó­º¥ý­n±±¨îºÝ©MªA°ÈºÝ¤w³q¹L¤ì°¨«Ø¥ß³s±µ¡AµM¦Z±±¨îºÝ¥Î¤á¥Î¤u¨ã³n¥ó±N¤ì°¨¤å¥ó©M¬Y¤@À³¥Îµ{§Ç®¹¸j¦b
¤@°_¡A¤W¶Ç¨ìªA°ÈºÝÂл\­ì¤å¥ó¡A³o¼Ë§Y¨Ï¤ì°¨³Q§R°£¤F¡A¥u­n¹B¦æ®¹¸j¤F¤ì°¨ªºÀ³¥Îµ{§Ç¡A¤ì°¨¤S·|³Q¦w¸Ë¤W¥h¤F¡C¸j©w¨ì
¬Y¤@À³¥Îµ{§Ç¤¤¡A¦p¸j©w¨ì¨t²Î¤å¥ó¡A¨º¤\¨C¤@¦¸Windows±Ò°Ê§¡·|±Ò°Ê¤ì°¨¡C 

¦bSystem.ini¤¤±Ò°Ê 
System.ini¦ì¤_Windowsªº¦w¸Ë¥Ø¿ý¤U¡A¨ä[boot]¦r¬qªºshell=Explorer.exe¬O¤ì°¨³ßÅwªºÁô½ª¥[¸ü¤§©Ò¡A¤ì°¨³q±`ªº°µªk¬O±N¸Ó¥y
Åܬ°³o¼Ë¡Gshell=Explorer.exe file.exe¡Aª`·N³o¨½ªºfile.exe´N¬O¤ì°¨ªA°ÈºÝµ{§Ç¡I 

¥t¥~¡A¦bSystem.ini¤¤ªº[386Enh]¦r¬q¡A­nª`·NÀˬd¦b¦¹¬q¤ºªº¡§driver=¸ô®|\µ{§Ç¦W¡¨¡A³o¨½¤]¦³¥i¯à³Q¤ì°¨©Ò§Q¥Î¡C 

¦A¦³¡A¦bSystem.ini¤¤ªº[mic]¡B[drivers]¡B[drivers32]³o¤T­Ó¦r¬q¡A¥¦­Ì°_¨ì¥[¸üÅX°Êµ{§Çªº§@¥Î¡A¦ý¤]¬O²K¥[¤ì°¨µ{§Çªº¦n³õ
©Ò¡C 

§Q¥Îª`¥Uªí¥[¸ü¹B¦æ 
¦p¤U©Ò¥Üªºª`¥Uªí¦ì¸m³£¬O¤ì°¨³ß¦nªºÂè­¤§³B¡A»°§ÖÀˬd¤@¤U¡A¦³¤°¤\µ{§Ç¦b¨ä¤U¡G 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion¤U©Ò¦³¥H¡§run¡¨¶}ÀYªºÁä­È¡Q 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion¤U©Ò¦³¥H¡§run¡¨¶}ÀYªºÁä­È¡Q 
HKEY_USERS\.Default\Software\ 
Microsoft\Windows\CurrentVersion¤U©Ò¦³¥H¡§run¡¨¶}ÀYªºÁä­È¡C 

¦bAutoexec.bat©MConfig.sys¤¤¥[¸ü¹B¦æ 
½Ð¤j®aª`·N¡A¦bC½L®Ú¥Ø¿ý¤Uªº³o¨â­Ó¤å¥ó¤]¥i¥H±Ò°Ê¤ì°¨¡C¦ý³oºØ¥[¸ü¤è¦¡¤@¯ë³£»Ý­n±±¨îºÝ¥Î¤á»PªA°ÈºÝ«Ø¥ß³s±µ¦Z¡A±N
¤w²K¥[¤ì°¨±Ò°Ê©R¥Oªº¦P¦W¤å¥ó¤W¶Ç¨ìªA°ÈºÝÂл\³o¨â­Ó¤å¥ó¤~¦æ¡A¦Ó¥Bªö¥Î³oºØ¤è¦¡¤£¬O«ÜÁô½ª¡A®e©ö³Qµo²{¡C©Ò¥H¦b
Autoexec.bat©MConfig.sys¤¤¥[¸ü¤ì°¨µ{§Çªº¦}¤£¦h¨£¡A¦ý¤]¤£¯à¦]¦¹¦Ó±¼¥H»´¤ß¡C 

¦bWinstart.bat¤¤±Ò°Ê 
Winstart.bat¬O¤@­Ó¯S®í©Êµ·²@¤£¨È¤_Autoexec.batªº§å³B²z¤å¥ó¡A¥¦¤]¬O¤@­Ó¯à¦Û°Ê³QWindows¥[¸ü¹B¦æªº¤å¥ó¡C¥¦¦h¼Æ±¡ªp¤U
¬°À³¥Îµ{§Ç¤ÎWindows¦Û°Ê¥Í¦¨¡A¦b°õ¦æ¤FWin.com¦}¥[¸ü¤F¦h¼ÆÅX°Êµ{§Ç¤§¦Z¶}©l°õ¦æ¡]³o¤@ÂI¥i³q¹L±Ò°Ê®É«ö[F8]Áä¦A¿ï¾Ü
³v¨B¸òÂܱҰʹLµ{ªº±Ò°Ê¤è¦¡±oª¾¡^¡C¥Ñ¤_Autoexec.batªº¥\¯à¥i¥H¥ÑWinstart.bat¥N´À§¹¦¨¡A¦]¦¹¤ì°¨§¹¥þ¥i¥H¹³¦bAutoexec.bat
¤¤¨º¼Ë³Q¥[¸ü¹B¦æ¡C 

¡§¤Ï¼uºÝ¤f¡¨«¬¤ì°¨ªº¥D°Ê³s±µ¤è¦¡ 
¤°¤\¥s¡§¤Ï¼uºÝ¤f¡¨«¬¤ì°¨©O¡H§@ªÌ¸g¹L¤ÀªR¨¾¤õÀ𪺯S©Ê¦Zµo²{¡G¤j¦h¼Æªº¨¾¤õÀð¹ï¤_¥Ñ¥~­±³s¤J¥»¾÷ªº³s±µ©¹©¹·|¶i¦æ«D
±`ÄY®æªº¹LÂo¡A¦ý¬O¹ï¤_¥Ñ¥»¾÷µo¥Xªº³s±µ«o²¨¤_¨¾­S¡]·íµM¦³ªº¨¾¤õÀð¨â¤è­±³£«ÜÄY®æ¡^¡C¤_¬O¡A»P¤@¯ëªº¤ì°¨¬Û¤Ï¡A¡§¤Ï
¼uºÝ¤f¡¨«¬¤ì°¨ªºªA°ÈºÝ(³Q±±¨îºÝ)¨Ï¥Î¥D°ÊºÝ¤f¡A«È¤áºÝ(±±¨îºÝ)¨Ï¥Î³Q°ÊºÝ¤f¡A·í­n«Ø¥ß³s±µ®É¡A¥Ñ«È¤áºÝ³q¹LFTP¥D­¶ªÅ
¶¡§i¶DªA°ÈºÝ¡G¡§²{¦b¶}©l³s±µ§Ú§a¡I¡¨¡A¦}¶i¤JºÊÅ¥ª¬ºA¡AªA°ÈºÝ¦¬¨ì³qª¾¦Z¡A´N·|¶}©l³s±µ«È¤áºÝ¡C¬°¤FÁô½ª°_¨£¡A«È¤á
ºÝªººÊÅ¥ºÝ¤f¤@¯ë¶}¦b80¡A³o¼Ë¡A§Y¨Ï¥Î¤á¨Ï¥ÎºÝ¤f±½´y³n¥óÀˬd¦Û¤vªººÝ¤f¡Aµo²{ªº¤]¬OÃþ¦ü¡§TCP¡@ªA°ÈºÝªºIP¦a
§}:1026¡A«È¤áºÝªºIP¦a§}:80 ESTABLISHED¡¨ªº±¡ªp¡Aµy·L²¨©¿¤@ÂI§A´N·|¥H¬°¬O¦Û¤v¦bÂsÄýºô­¶¡C¨¾¤õÀð¤]·|¦p¦¹»{¬°¡A¤j
·§¨S¦³­þ­Ó¨¾¤õÀð·|¤£µ¹¥Î¤á¦V¥~³s±µ80ºÝ¤f§a¡C³oÃþ¤ì°¨ªº¨å«¬¥Nªí´N¬O¡§ºôµ¸¯«°½¡¨¡C¥Ñ¤_³oÃþ¤ì°¨¤´µM­n¦bª`¥Uªí¤¤«Ø
¥ßÁä­È¡A¦]¦¹¥u­n¯d·Nª`¥UªíªºÅܤƴN¤£Ãø¬d¨ì¥¦­Ì¡C 

ºÉºÞ¤ì°¨«Ü¬¾·â¡Aµ½¤_°°¸Ë©MÁôÂæۤv¡A¹F¨ì¨ä¤£¥i§i¤Hªº¥Øªº¡C¦ý¬O¡A¥u­n§Ú­ÌºN²M³W«ß¡A´x´¤¤@©wªº¤èªk¡AÁÙ¬O¯à°÷¨¾­S
ªº¡C®ø°£¹ï¤ì°¨ªº®£Äß·P©M¯«¯¦·P¡C¨ä¹ê¡A¥u­n§A¯à¥[­¿¤p¤ß¡A¥[±j¨¾­S¡A¬Û«H¤ì°¨±N·|Â÷§A»·¥h¡I