bp 00414202
esto
bp 004038bb
bc 00414202
esto
bp 00403a41
cmt 00403a41,"关键CALL"
bp 00403a00
lbl 00403390,"strncpy"
lbl 00403360,"strrchr"
lbl 004032a0,"strchr"
lbl 00402370,"修改注册表,隐藏文件"
bp 00401700
lbl 004030d0,"计算文件MD5值"
cmt 00401700,"运行的是否是系统目录里的svchost"
bp 00401935
bp 0040186a
cmt 0040186a,"如果发现已经运行了窗口则跳走"
bp 00401042
bp 0040105d
cmt 0040188e,"根据时间产生随机字串"
cmt 0040105d,"获取网络地址"
bp 00401042// WM_CREATE处理函数
bp 0040109e//WM_TIMER处理函数
bp 00401521//WM_DEVICECHANG消息处理函数
cmt 0040106c,"文件的MD5值校验"
cmt 00401099,"注册表设置"
cmt 004010ad,"以下代码为计时器2的过程(5分钟)"
cmt 004010a6,"跳到计时器1的过程(30秒)"
cmt 0040145e,"c:\windows\mdm.exe MD5"
bp 004013c8
bp 00401150
lbl 00401150,"联网,下木马"
cmt 004013c8,"比较磁盘根目录下的ravmon.exe antorun.inf的MD5值,都相符返回真"
cmt 004013d2,"相符则跳走"
cmt 004013da,"复制自身,重写autorun.inf到相应根目录"
cmt 00401468,"MDM.EXE不存在则跳走"
cmt 004014a2,"MDM.EXE MD5值符合则跳走"
cmt 004014ac,"重新复制MDM.EXE"
cmt 004014bc,"检查注册表是否已经设置MDM.EXE自运行"
cmt 00401588,"感染磁盘"
pause
bc 00401150
bc 004013c8
bc 0040186a
bc 004038bb
bc 00403a41
bc 00401700
bc 00401935
bc 00401042
bc 0040105d
bc 00401042
bc 0040109e
bc 00401521
bc 00403a00