zzz.exe

zzz.exe（Win32.Troj.Agent.pv.184320病毒）会不停的下载其它病毒到用户电脑中。病毒作者为它设置了大量的垃圾代码，试图干扰反病毒工作人员的分析。

1.病毒调用GetVolumeInformationA取磁盘信息，调用GetSystemDirectoryA取系统目录，生成文件路径，病毒检查此文件是否存在，若不存在，则建立文件，并写入标记信息(pv0070).

2.病毒调用GetWindowsDirectoryA取Windows路径，并调用GetTempFileNameA生成临时文件路径，此文件用于后面病毒获取下载信息文件。

3.病毒解密并拼合URL供下载使用(8*8.8*3call.cn/pw.ini)。

4.病毒调用InternetCrackUrlA,InternetOpenA,InternetConnectA,HttpOpenRequestA,HttpSendRequestA,HttpQueryInfoA,InternetReadFile及WriteFile将病毒信息文件写入上一步生成的临时文件中，此文件为.ini格式文件，文件内容如下:

[main]

u=http://2*9.1*8.34.9/dmmodule/zzz.exe

c=/S

5.病毒调用GetPrivateProfileStringA取下载路径，并删除临时文件。

6.病毒再次取临时文件路径，使用同上面相同函数下载如上url中的文件，每4k写入一次文件，直至完成。

7.病毒调用LoadLibrary取Kernel32.dll的hModule，并调用GetProcess取CreateProcess函数地址，并调用，以自行刚刚下载的文件。

8.病毒等待文件执行完成，调用DeleteFile删除文件后退出