病毒样本来自：http://bbs.ikaka.com/showtopic-8628573.aspx

这个unins000.exe可能是被SysAnti.exe感染过的某个程序的卸载程序，运行后报告“未找到unins000.dat”。


此后，此unins000.exe访问网络，下载一个感染性病毒下载器SysAnti.exe。

SysAnti.exe运行后，释放病毒文件SysAnti.exe和autorun,inf到硬盘各个分区根目录以及连接到中招电脑上的移动存贮介质的根目录。

接下来，首先在%windows%\Fonts目录释放并加载运行一个随机字母名的病毒.dll。此dll运行后，即刻关闭IceSword、autoruns、sreng等常用手工杀毒辅助工具并在注册表中添加IFEO劫持项，破坏多种杀软和防火墙加载运行。另：此毒释放多个病毒.dll到%system%目录和%windows%\Fonts目录；释放病毒文件.fon、.ttf到%windows%\Fonts目录。释放病毒驱动.sys到系统驱动目录并改写一个正常的系统驱动程序.sys；替换系统程序userinit.exe。此毒感染系统文件以外的所有.exe文件。


这个变种与前些天见到的那个文件大小相同，但MD5有变：


此毒的要害是那个%windows%\Fonts目下的随机字母名的病毒.dll。
若事先禁止病毒文件访问Fonts目录，用Tiny追踪模式运行这个病毒样本（下图），此毒比较容易清理。Fonts目录下的病毒.dll无法创建，此毒的后续动作（包括感染文件等）便无法进行。先结束此毒开启的svchost.exe进程（PID号较大的），删除各分区根目录下的SysAnti.exe和autorun.inf即可。



用户系统信息：Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1