病毒文件：kocmbcd.exe
病毒MD5：825622ba4d3f910bdf6f97f585290b35
病毒大小：38780 字节
病毒类型：Autorun型病毒，通过移动盘传播

一、病毒运行后生成如下文件：
%systemroot%\system32\dmecvcm.exe
%systemroot%\system32\iywdqdf.exe
X:\kocmbcd.exe
X:\autorun.inf 注：如果你的操作系统在C盘，那么%systemroot%表示C:\windows，X表示每一个盘符。dmecvcm.exe、iywdqdf.exe与kocmbcd.exe是同一病毒，其中autorun.inf内容如下：[AutoRun]
open=kocmbcd.exe
shell\open=打开(&O)
shell\open\Command=kocmbcd.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=kocmbcd.exe

二、修改注册表键值：

1、添加如下注册表项以达到IFEO劫持目的，N多安全软件都被劫持了（共110项），每项下都有类型为REG_SZ的键值Debugger，值为：C:\windows\system32\iywdqdf.exe，刚好指向病毒文件iywdqdf.exe。
2、添加如下注册表键值以达到随机启动的目的：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hhsonxn 值：C:\windows\system32\dmecvcm.exe 类型：REG_SZ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kocmbcd 值：C:\windows\system32\iywdqdf.exe 类型：REG_SZ

3、修改如下注册表键值：HKLM\SYSTEM\CurrentControlSet\Services\AVP\Start 值：4 类型：REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start 值：4 类型：REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\helpsvc\Start 值：4 类型：REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start 值：4 类型：REG_DWORD
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Start 值：4 类型：REG_DWORD