From http://hi.baidu.com/egomoo/blog/item/92e6d2d381805adba9ec9a95.html
By egomoo 草莽书生

专为对付磁碟机变种独占boot.ini文件开发。

好家伙，就为这个独占boot.ini文件的磁碟机，来来回回测试，虚拟机下重启了一天，偶尔还蓝屏。（破坏虚拟机的VMware Tools工具）

兄弟快过年了，别折腾了吧，好好享受下平凡而又简单的生活吧。

新增功能：

1.摆脱boot.ini文件的独占，具体不再细说了，有磁碟机做样本测试了就知道了。

2.文件浏览选择功能

       面对系统的显示隐藏总是被系统破坏，再加上病毒主体文件名的随机性，往往很难用手工将其清除
这次的磁碟机变种就是如此，在文件输入框内填入：

c:\documents and settings\all users\「开始」菜单\程序\启动

回车，下面列表框即可显示该目录下的所有文件

（若遇到rootkit无法显示，在知道文件名的前提下，使用XDELBOX导入不检查路径功能）

c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe.133218.exe

选中单击，列表框返回原待删除列表，选中的文件已经加入到待删除框内。

单击文字“待删除列表”可切换待删除文件框和文件浏览框，切换后即可实行右键重启删除或者拖入其它文件等操作。

若遇到删除文件后重启，c000021a 蓝屏提示，兄弟重装系统吧。这个病毒太阴险，遇到压缩包解了，感染了文件，再给你放回去，晕啊，想的真周到啊。

还有许多原先大家没提到的，比若破坏系统组策略的软件限制规则

删除的注册表：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware Tools: "C:\Program Files\VMware\VMware Tools\VMwareTray.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\VMware User Process: "C:\Program Files\VMware\VMware Tools\VMwareUser.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\nod32kui: "; "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SecExpert: "C:\Program Files\Terminator\SecMain.exe Hide"

HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0
HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes

为了让整个战斗发布显得丰满些，就上传几张图片点缀下。

病毒主体文件：

C:\WINDOWS\system32\Com\lsass.exe
C:\WINDOWS\system32\Com\netcfg.000
C:\WINDOWS\system32\Com\netcfg.dll
C:\WINDOWS\system32\Com\smss.exe
C:\WINDOWS\system32\dnsq.dll
C:\037589.log
C:\AUTORUN.INF
C:\pagefile.pif
f:\pagefile.pif
e:\pagefile.pif
d:\pagefile.pif
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf

还好有时候还会产生c:\documents and settings\all users\「开始」菜单\程序\启动\~.exe随机数字.exe 的文件注意也同时删除。