收到一个病毒分析报告，这个病毒将Sysinternals系列工具软件列为新的对抗目标。www.Sysinternals.com提供了一系列非常优秀的系统管理小工具，其中Process Explorer、autoruns、filemon、regmon、tcpview、dbgview是手动杀毒爱好者经常使用的工具。

　　以下是这个病毒的详细信息

　　病毒全名：Win32.Troj.Undef.11776

　　病毒长度：11776

　　威胁级别：★★

　　病毒类型：木马

　　病毒简介

　　这是一个盗号木马程序，该程木马会盗取网络游戏账号，关闭杀毒软件。

　　病毒运行特征

　　1、释放文件

　　%systemroot%\SoftwareDistribution\Uninstall.bin

　　%systemroot%\system32\cryptnet21.dll

　　%systemroot%\system32\NvCpl64.dll

　　%systemroot%\system32\IPv6.dll

　　%systemroot%\system32\WinXP.bmp

　　%systemroot%\system32\drivers\ReSSDT.sys

　　在每个分区的根目录下生成

　　Thumbs.lnk

　　AutuRun.inf

　　2、添加注册表启动项

　　HKLM\SOFTWARE\Microsoft\windows\currentversion\

　　runNvCpl = "rundll32.exe %systemroot%\system32\NvCpl64.dll,NvStartup"

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

　　WindowsAppInit_DLLs = "%systemroot%\system32\IPv6.dll"

　　将"%systemroot%\system32\WinXP.bmp"，添加到BHO中。BHO名字为Thunder5BHO，CLSID为{00000231-1000-0010-8000-00AA006D2EA4}。