taong

病毒运行后会把自己拷贝到System32路径下命名为thundet.exe和dllhos.exe，然后添加以下注册表项实现自启动:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Thundet" = THUNDET.EXE  

    病毒会从http://www.xxx.net/mm/网址下载并运行木马病毒26个程序，同时病毒会感染脚本文件，在脚本文件的最后添加网址使得用户打开网页的同时下载病毒脚本。

    病毒还会添加以下注册表项实现映像劫持：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = 360tray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = KMDEVMONSRV.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ debugger = VsTskMgr.exe

    最后病毒会把自己拷贝到各个磁盘下，添加autorun.inf使得用户打开磁盘的同时运行病毒程序。