Win32.Troj.InvsblDowner.a

这是一个具有隐藏自身进程功能的木马下载器，此外该病毒还会获取被感染机器
的信息，并发送到指定的网址。

1.病毒在检查注册表中检查标志项，判定机器是否被感染：
[HKLM\SOFTWARE\UseFul]
"Id"="..."
病毒还会确认该标志项是否只含有8个字节。

2.假如是首次运行，病毒将自身复制到%WinDir%\system32\目录下，命名为
lvsrev.exe，并在注册表中添加标志项，和启动项，以实现开机自启：
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msserv"=%WinDir%\system32\lvsrev.exe

3.接着病毒对操作系统进行判定，假如是NT/2000/XP系统，病毒将释放驱动
文件InvisibelDrvNT.sys（毒霸可查，Win32.Hack.HideProc.a）到
%WinDir%\system32\dirvers\目录下，并加载该驱动，以隐藏病毒进程；
同时，病毒还将该驱动文件注册为名为“InvisibleDrvNT”的系统服务。

4.接着病毒创建线程，下载http://flex-******t.com/ad***ima/useful.exe
文件，保存在系统目录下，命名为svclocal.exe（毒霸可查Win32.Troj.Qhost.u），
并运行之。这又是一个修改hosts文件和IE首页的木马病毒。

5.病毒还会建立线程获取中毒机器IP，端口等信息并发送到指定的网址。