************************************
Dd11.exe大小為30,465位元組，FSG加殼處理。
病毒運行後會在%SYSTEM%下面釋放FuckJacks.exe這麼一個文件，同Dd11.exe。並且在每個分區根目錄下面釋放setup.exe和autorun.inf文件（利用系統自動播放達到啟動目的）。
FuckJacks.exe將調用CMD.EXE、NET.EXE以及NET1.EXE幾個程式，同時佔用大量CPU，會結束掉一些進程，比如註冊表編輯器、IceSword所有版本等。
病毒激活時會不停的寫註冊表保證自己的啟動項有效。
病毒會覆蓋或者修改掉正常的程式，當EXE程式的檔案名稱第一個為數字或者字母a-d（A-D）時會立刻進行覆蓋或修改，其他檔案名稱的程式會慢慢侵蝕。
************************************
病毒會刪除“安全中心”的相關注冊表。
病毒增加如下註冊表啟動項：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%SYSTEM%\\FuckJacks.exe"
[HKEY_USERS\S-1-5-21-1757981266-2111687655-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%SYSTEM%\\FuckJacks.exe"
************************************
關於病毒的清除：
1、打開任務管理器，結束掉FuckJacks.exe進程。
2、右擊每個分區盤符選擇“打開”刪除分區根目錄下面的setup.exe和autorun.inf文件。
3、刪除上面提到的病毒增加的註冊表值。
4、關於安全中心的恢復可以從正常系統中倒入註冊表，或者跳過這一步，不是特別重要。
5、被病毒覆蓋的文件（覆蓋後的文件大小為30,465位元組）是不可恢復的，直接刪除；被修改的文件用16進制編輯器刪除00000000到00007700的代碼段，在文件末尾找到並刪除從“WhBoy”到最後所有的代碼段保存即可恢復原貌。

=================================

對FuckJacks.exe的深入分析
分類:IT

病毒會搜索進程查找並結束窗口資訊中包含如下資訊的進程：
QQKav
QQAV
VirusScan
Symantec AntiVirus
iDuba
esteem procs
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
**************************
同時直接結束如下這些進程（注意最後三個和Viking對上了，呵呵）：
Mcshield.exe
VstskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
RavmondD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl123.exe
**************************
病毒會刪除上面提到的反病毒軟體的註冊表鍵值，同時刪除雅虎助手的註冊表
**************************
搜索區域網路共享，利用暴力破解區域網路用戶密碼方式試圖傳播自己，成功後將以GameSetup.exe的形式傳播
調用Net.exe和Net1.exe刪除admin$和IPC$共享
記錄鍵盤，盜取QQ，記錄資訊會保存到C:\test.txt（同時會記錄成功連接的IP共享資訊）中
**************************
感染EXE、SCR、PIF、COM文件，同時刪除GHOST備份（*.gho）