这是个比较BT的木马下载器。运行后直接自网络上下载101371.exe。
101371.exe运行后，在C:\WINDOWS\Temp\文件夹中释放mssoak.exe。
mssoak.exe运行后——“天女散花”般地释放下列文件（夹）：


1、C:\Program Files\Common Files\IE-Bar文件夹：
dmbar.dll
dmipn.dll
dmsched.exe
dmshell.dll
iebar.exe
license.txt
uninstall.exe
以上是“千橡互连”的东东。
2、C:\WINDOWS\system\83f73e71文件夹：
73de7.exe
73le7.dll
73ne7.dll
73re7.dll
3、C:\Documents and Settings\All Users\「开始」菜单\程序\启动
IE-Bar（快捷方式）
4、C:\Documents and Settings\baohelin\Templates\8cf5970文件夹：
1.dll
2.exe
3.dll
4.dll
5、C:\Documents and Settings\All Users\Application Data\clubmember\Cast文件夹：
bfrw_3028.inf
bfyswj.inf
dxgdgjc.inf
yxssj_3028.inf
6、C:\Documents and Settings\All Users\Application Data\clubmember\Cast\GGS文件夹：
hmd.idx
7、C:\windows\system32\drivers\fsprot.sys
8、C:\windows\system32\drivers\moprot.sys

大致轮廓如此。
注册表改动N处（眼都看花了）。明天再一一列举吧。
靠！！！！
这是个“流氓木马”合物啊！！！！！！！！

引用:

【mopery的贴子】- -....猫叔 加油.. 我不用测了.. 别忘了 拿杀软看看他感染 .exe文件么 .. 特别是~.exe ………………

sp1文件夹中的update.exe释放的文件：

sp1文件夹中的update.exe改动的注册表内容：