文件名称：NTSpool.exe

文件大小：724992 byte

AV命名：

卡巴斯基  Backdoor.Win32.Agent.cvs
F-SECURE  Backdoor:W32/IRCBot.GHP
Prevx  TROJAN.DOWNLOADER.GEN


行为：

1、 释放病毒副本：

%Systemroot%\system32\NTSpool.exe  724992 字节

2、 添加注册表，开机启动：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

NTSpool = REG_SZ, "NTSpool.exe "

3、 启动svchost.exe进程，并把自身代码注入其中。

4、 连接195.16.51.2**IRC接受远程控制，不过该服务器已失效。

如成功连接，可能会接受一些命令：

NICK
PASS
Leaving
QUIT
QUIT
PONG
PING
NICK
PRIVMSG
NOTICE
QUIT
PART
JOIN
PRIVMSG
JOIN
JOIN
MODE
MODE

5、 会对MSN好友发送病毒压缩包和以下言语（未验证）：

WoW? is that really you... what the hell where you drinking :D
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?

貌似外国的病毒哦

这个是干什么的? 只是传播消息嘛?`