當(dāng)W32.Funner（這是人家諾頓老大的命名）病毒執(zhí)行的時候，它會這樣做～：

　　1，拷貝自身為如下文件：

　　%System%\IEXPLORE.EXE

　　%System%\EXPLORE.EXE

　　%Windir%\rundll32.exe

　　%System%\userinit32.exe

　　c：\funny.exe

　　并且執(zhí)行列表里的前三個文件

　　注意：

　��？這三個文件會確保另外它們始終運行，換句話說，當(dāng)其中兩個被終止的時候，另外一個會將它們重新啟動，

讓我們看看

　��？這些文件需要MSVBVM60.DLL文件，它是MicrosoftVisualBasic運行時環(huán)境組件。

　�。�%System%是系統(tǒng)文件夾的變量參數(shù)，默認(rèn)情況下，它是：

　　C：\Windows\System（Windows95/98/Me）

　　C：\Windows\System32（WindowsNT/2000/XP）

　　？%Windir%是Windows安裝文件夾變量參數(shù)，默認(rèn)情況下，它是：

　　C：\Windows或C：\Winnt

　　2，創(chuàng)建日志文件，命名為%System%bsfirst2.log（病毒也做日志？寒……）

　　3，在下列注冊表分支中：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

　　加入鍵值

　　“Userinit”=“userinit32.exe，”

　　當(dāng)啟動Windows的時候，將自動運行userinit32.exe（夠賊的……NT系統(tǒng)的注冊表同樣分支里有這樣的一個鍵值，只是名字是userinit32.exe）

　　4，在下列注冊表分支中：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

　　加入鍵值

　　“MMSystem”=“%Windir%\rundll32.exe”%System%\mmsystem.dll“”，RunDll32“

　　當(dāng)啟動Windows時，自動運行rundll32.exe

　　5，會在SYSTEM.ini文件的[boot]部分添加如下行：

　　Shell=%system%\explorer.exe

　　6，在WindowsMessenger即時通信程序中發(fā)送c：\funny.exe文件給聯(lián)系人

　　7，會連接到http：//www.78p.com

　　8，將如下列表中的條目添加到Hosts文件并指向一個外部IP地址（來，大家跟我一起數(shù)……）：

　　222.89.98.219http：//www.wo365.com
　　

　　222.89.98.219cmfu.com

　　222.89.98.219http：//www.cmfu.com
　　

　　222.89.98.2199i0.com

　　222.89.98.219http：//www.9flash.com
　　

　　222.89.98.2199flash.com

　　222.89.98.219http：//www.nowok.net
　　

　　222.89.98.219nowok.net

　　222.89.98.219wisa.com.cn

　　222.89.98.219http：//www.sia.com.cn
　　

　　222.89.98.219http：//www.wisa.cn
　　

　　222.89.98.219wisa.cn

　　222.89.98.219http：//www.zhao99.com
　　

　　222.89.98.219zhao99.com

　　222.89.98.219http：//www.wo123.com
　　

　　222.89.98.219wo123.com

　　222.89.98.219wo99.com

　　222.89.98.219http：//www.wo99.com
　　

　　222.89.98.219http：//www.page.com.cn
　　

　　222.89.98.219page.com.cn

　　222.89.98.219http：//www.432.cn
　　

　　222.89.98.219432.cn

　　222.89.98.219wysw.com

　　222.89.98.21914.com.cn

　　222.89.98.219http：//www.14.com.cn
　　

　　222.89.98.219cnww.net