下面是这个病毒的分析：
File: servver.exe
Size: 37888 bytes
MD5: 411AD11AC0FF5164C8B18AB4AD0D5739
SHA1: 04F46D6222232921CDC9882E8B82182DFB6479DA
CRC32: F57CD054

　　生成如下文件
在系统盘下生成其副本
%system32%\servver.exe
并在每个磁盘分区下生成
autorun.inf和servver.exe

　　注册为服务 Windowsms
指向%system32%\servver.exe

启动类型：自动
显示名称：Telephots google
服务描述：为即插即用设备提供支持

　　试图修改注册表　　　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun的键值 但测试时未实现

　　查找窗口“IE执行保护”查找到以后 查找按钮“允许执行”
并发送WM_LBUTTONDOWN的指令 模拟按键
查找窗口“瑞星卡卡上网安全助手－IE防漏墙”查找到以后 查找按钮“允许”
并发送WM_LBUTTONDOWN的指令 模拟按键

　　查找有无drivers/klif.sys文件
如果有则通过cmd /c date 1981-01-12 命令把日期改为1981年1月12日
并在15s以后 把日期再改回来

　　调用CreateProcess打开进程c:\windows\system32\svchost.exe，然后调用WriteProcessMemory等函数往此进　　程中写入病毒代码，实现下载功能
下载如下
http://ads.*.com/100.exe～http://ads.*.com/119.exe
到%system32%文件夹下,下载的病毒有盗号木马 威金等,其中117.exe可以进行arp欺骗.113.exe具有感染htm文件的功能

盗号木马可以盗取以下一些网络游戏的帐号密码（包括但不限于）
征途
完美世界
QQ
...

　　并可结束如下进程或者服务（包括但不限于）
Noton AntiVirus Server
McTaskmanager
McShield
McAfeeFramework
kvsrvxp
DefWatch
KPfwSvc
KWatchSvc
RavMon.exe
RavMonD.exe
...

　　并可关闭自动更新和Windows自带的防火墙

　　木马和病毒植入完毕以后 sreng日志如下

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            []
            []
            []
            []
            []
            []
            [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
            []
            [N/A]
            [N/A]
            [N/A]
            [N/A]
            [N/A]
            [N/A]
            [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            []