瑞星最新病毒分析报告：Worm.Muniu.a

    该病毒运行后：

    一：在Windows目录下的\Downloaded Program File目录里创建一个名称为tnumbs.db的动态库文件，把该文件的属性设置为隐藏，并注入系统其他进程中。

    二：判断当前系统版本，如果是XP系统，病毒就会修改每个进程中的几个API地址CreateFile,FindFirstFile,FindNextFile，达到隐藏自己的目的。

    三：创建多个注册表键值，达到自我启动的目的
SYSTEM\CurrentControlSet\Services\RemoteAccess\
SYSTEM\CurrentControlSet\Services\W32Time
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\W32Time等等。

    四：启动多个线程

    1：写注册表线程：这个线程用一直会写注册表的启动项。

    2: 感染线程：病毒会遍历硬盘上所有后缀名为EXE，在文件的末尾添加自己的感染数据。

    3: 自我更新：病毒会在后台访问"http://www.md80.cn/muniu/new/?v=2"
                             "http://www2.md80.cn/muniu/new/?v=2"
                              "http://www3.md80.cn/muniu/new/?v=2"这些网站，如果有更新，就会下载下来，替换原来的版本。

    4:偷密码：病毒会遍历当前窗口是否是IE浏览器，如果是的话，就会寻找窗口中的可以输入密码的文本框，并把其中的密码记录下来。

    5:修改注册表关于隐藏文件的键，达到隐藏自己的目的。

    6:那自己复制到可移动设备中，比如U盘等。在移动设备的根目录上创建自启动文件，达到传播自己的目的。

    7:病毒还会遍历局域网中的可写目录，感染可写目录中的文件。