Win32.Bube.b

这是一个感染型病毒的病毒原体，它会感染explorer.exe文件，被感染的explorer.exe
在每次运行时会开启一个后门线程，随时等待远程终端的控制。

1.创建名为"BeavisMutex"的互斥体，保证只有一个病毒体在运行。

2.将自身拷贝到%system%目录下，并添加注册表启动项，以实现开机自启：
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
不但如此，病毒又改头换面，将自身再次复制到%system%目录下，命名为
soft.exe，而且也添加了注册表启动项：
[HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"run"="%system%\soft.exe"
然后病毒体由添加了另一个注册表项：
[HKLM\Software\Microsoft\ActiveSetup\InstalledComponents\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
"StubPath"="%system%\soft.exe"

3.修改注册表，关闭系统备份功能，然后对
%WinDir%\
%System%\dllcache\
%WinDir%\ServicePackFiles\
文件夹中的explorer.exe进行感染，同时还在%WinDir%目录下存放一个感染备份文件explorere.new。
病毒还会在被感染的explorer.exe文件的末尾留下8个字节的感染标记：
0xFF0xFF0xFF0xD00xC90xC20x080x00
病毒在%WinDir%目录下创建了名为wininit.ini的配置文件，内容如下：
[rename]
%Windir%\explorer.exe=%Windir%\explorer.new
被感染的explorer.exe在运行时，系统会弹出下面的提示：

4.病毒体还会收集系统的版本信息，并从下面这个网址
http://ad*****ash.***
下载其它可能的病毒文件。

5.被感染的explore.exe会开启一个病毒线程，每15分钟运行一次，
修改与系统安全相关的注册表项，并从上面的网址下载commands.ini
文件。