破坏方式：

A、将自身复制到系统目录下，在Windows 98系统下，并会替换系统文件Rundll32.exe，导致系统不能正常关机；

B、在WinNT/Win2000/WinXP/Win2003系统下，会修改Host文件，使用户在访问正常网站时连接到www.***78p.com，影响了用户对网站的正常访问；

C、病毒会利用MSN、QQ传播，将病毒自身以funny.exe文件名发送给好友，诱使感染用户的好友运行该文件。

发作特点:

A、在Windows 98/me系统下，会替换系统文件Rundll32.exe，导致系统不能正常关机；

B、WinNT/Win2000/WinXP/Win2003下会修改Host文件，使用户在访问近千个主流网站时转连到www.***78p.com，可能导致对该网站的DoS攻击；

C、病毒利用MSN，QQ传播，将病毒自身以funny.exe文件名发送给好友，并发送如下消息之一：

一家新开的酒吧，晚上聚聚，这里有介绍 www.***78p.com,记得给我电话

朋友，多注意休息啊，可以到这里放松放松哦，www.***78p.com

我们也来俗一把如何，看MM去，www.***78p.com，够味！呵呵！

日本人在南京大屠杀的铁证!坚决抵制日货 www.***78p.com

对中国威胁最大的十个国家!列表 www.***78p.com

我见过最漂亮的视频MM (不看可别后悔), www.***78p.com

《中国农民调查》页页血泪，惊动中央 转自网易, www.***78p.com

技术特点:

1、将自身复制到：

%SystemRoot%\rundll32.exe（98下会替换系统文件，导致系统不能正常关机）

%System%\explorer.exe

%System%\IEXPLORE.EXE

%System%\userinit32.exe

C:\funny.exe

2、生成

%System%\BSFIRST2.LOG 日志文件

3、Win9x/ME下 病毒会修改system.ini文件

[boot]

Shell=explorer.exe

为以下内容

[boot]

Shell=%System%\explorer.exe

4、病毒每隔60秒，就会注册表主键

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加如下键值：

"MMSystem"="%SystemRoot%\rundll32.exe "%System%\mmsystem.dll"", RunDll32"防止用户更改该键。

5、WinNT/Win2000/WinXP/Win2003系统下，会将注册表主键

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

的键值

"Userinit"="%System%\userinit.exe,"

修改为：

"%System%\userinit32.exe,"

使得系统加载的不是正常的userinit.exe，而是病毒文件。

6、病毒会运行多个进程，并监视自身进程是否被关闭，如果关闭，则再启动自身。

7、病毒会利用MSN，QQ传播，将病毒自身以funny.exe文件名发送给好友，诱使感染用户的好友运行该文件。并发送如下消息之一：

一家新开的酒吧，晚上聚聚，这里有介绍 www.***78p.com,记得给我电话

朋友，多注意休息啊，可以到这里放松放松哦，www.***78p.com

我们也来俗一把如何，看MM去，www.***78p.com，够味！呵呵！

日本人在南京大屠杀的铁证!坚决抵制日货 www.***78p.com

对中国威胁最大的十个国家!列表 www.***78p.com

我见过最漂亮的视频MM (不看可别后悔), www.***78p.com