3.被感染样本导入表的LoadLibraryA和GetProcAddress的First Thunk值被指向病毒所在节。破坏原PE文件结构，使清除步骤变得复杂。

4.病毒从解密后代码中释放动态库到系统临时文件夹下，文件名由三个随机字母和一个随机数字组成，此动态库采用UPX加壳，大小为0x2B000字节。通过钩挂WH_CALLWNDPROC钩子将其注入到所有进程中，判断注入目标，如果是Explorer.exe则继续病毒行为。

5.设置HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer的PINF值，实现开机自启动。

6.病毒会遍历硬盘中所有*.scr,*.exe扩展名的文件，并将其感染。

7.查看是否有可移动设备(例如U盘)，并感染可移动设备里面的可执行文件。

8.安插“后门”，在本地创建网络连接端口(udp30167)，用于接收黑客远程指令，可执行三条指令：获取系统信息、下载文件、执行程序。也就说可以在中招电脑内安装运行网银木马等各类恶意程序。

清除方案

如果有网友近期曾下载南京银行“密码控件”，而且电脑没有开启360等有效防护措施，建议立即采取以下措施：

1.安装使用360杀毒或360安全卫士全盘查杀，能够彻底清除病毒，修复染毒文件;

2.连接过中毒电脑的移动设备(U盘等)也应该进行杀毒处理。

(责任编辑：)