我们接着做更深入一点的研究。

 

 

从文件对比中，我们看到，病毒在我们C:\WINDOWS文件夹里增加了Other\Fun\dcSVIQ\WinSit几个病毒程序，从病毒的大小和制作时间来看，好像是相同的，只是换了小马甲。显然，病毒是哪儿好塞往哪塞，哪里隐蔽往哪塞。如塞进inf文件夹，就是因为inf文件夹是系统、隐藏特性的文件夹，一般人根本看不到。塞进SYSTEM32中，就是因为里面的文件非常多，好浑水摸鱼啊。搞了这么多，当人们清除他们时，只要一个未除掉，都会使您前功尽弃。（病毒制作者真能折腾）

在多出来的文件中，有一个文件比较有意思，wininit.ini，这是一个配置文件，他是干什么用的呢？打开看看

 

这回我也长点见识，通过学习知道，他是用来焚尸灭迹用的，即计算机启动后，会按wininit.ini说的去做——删除other.exe文件，wininit.ini再自我删除。本来这个功能是方便软件升级、驱动更新用的，却……

 

 

在注册表中，病毒制造者又是改、又是加的，其实目的就是一个，好让前面的病毒程序可以开机就运行。

以上就是对此病毒的一点研究，其实这个病毒能挺有能耐的，如几个病毒进程能够相互保护，还能感染传播。从其启动方式来说，一般般，同时杀毒软件也可以查杀它。高级一点的病毒如ROOKIT病毒，插进（线）程病毒、服务、驱动病毒需要更好的水平及工具去分析了，本文仅仅是做了初步探讨，抛砖引玉。（全文完）