中文名称：科多兽

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是个感染型的蠕虫病毒变种，感染扩展名为.exe、.asp、.aspx、.htm以及.html的文件，被该变种感染后的.exe文件大部分会损坏，无法恢复，病毒自身会通过局域网和邮件传播。

1、病毒运行后会从资源释放文件到到%tmp%目录，文件名为随即生成。该资源类型为EXEFILE，名称为EXE。

2、创建进程运行该释放的文件。

3、创建一个MUTEX监测自身是否为第一个运行实例，若不是，则进程终止。

4、监测自身文件名是否为ePower.exe，若不是执行（5），否则执行（6）。

5、复制自身到%system%\ePower.exe，并运行，退出自身进程。

6、从资源中释放驱动文件到%system%目录下，文件名随机（扩展名为sys）。之后会删除该文件。

7、修改注册表，创建名字为SysDrver的服务，实现开机自启。

8、创建线程，功能如下：

线程1：枚举网络可用资源，尝试通过IPC连接传播自身；发送邮件，通过email传播自身

线程2：连接网络下载其他病毒。

线程3：从Z盘到B盘，搜索所有exe、asp、aspx、htm、html为扩展名的文件，并感染(系统盘除外)。

感染exe文件方式：病毒将自身复制到%tmp%目录下的随机文件名文件，读取欲感染的文件，并将其加入到病毒副本资源的EXEFILE类型的EXE。用该病毒副本覆盖于感染的文件完成感染，删除副本。

由于该变种自身原因，被感染的.exe文件都被损坏，无法恢复且感染后病毒自身也无法运行。建议删除文件。

“科多兽”病毒专杀工具下载：

http://down.www.kingsoft.com/db/download/othertools/DubaTool_Kodo.COM