廣告宣傳單983040

“廣告宣傳單983040”（Win32.Troj.Autorun.ex.983040） 威脅級別：★

並在系統盤中生成四個病毒檔案，分別是%WINDOWS%\目錄下的ie.ini，%Documents and Settings%\All Users\「開始」選單\程式\啟動\目錄的word.lnk，%WINDOWS%\system32\目錄下的mcdsrv16_080124.dll和mcdsrv32_080124.dll。釋放完檔案後，病毒就建立批處理程式，把自己的原始檔案刪除，使用戶無法發現病毒源。

病毒會利用word.lnk捷徑指向病毒主檔案ridiap080124.exe來達到開機啟動，然後查找“瑞星”和“卡巴斯基”等的警告視窗，如發現則模擬傳送按鈕訊息跳過查殺。同時還注入系統桌面的進程iexplorer.exe，在進程中查找並關閉“瑞星”、“卡巴斯基”、“360安全衛士”等安全軟體的進程。

解決掉安全軟體後，病毒嘗試將自身偽裝成Browser Helper Objects的進程（微軟IE瀏覽器對第三方程式設計師開放互動接口的業界標準），並將自己添加到IE保護工具白名單中，刪除系統中用於記錄網址的hosts檔案，為自己接下來的破壞行為鋪平道路。

如順利完成以上工作，病毒便連線木馬種植者指定的地址，獲取一份網址信息，自動登