同時啟動兩套虛擬機，軒轅鴻將剛剛感染病毒的windowsxp係統進行配置，讓它和後邊啟動的另一個虛擬機組建成小型網絡，現在要測試這個病毒在網絡方麵的傳播功能。

*******************違規內容已刪除**********************

一個小時後，兩套xp的虛擬機係統都已經變得非常緩慢，看樣子病毒已經開始發揮作用了，消耗了兩個虛擬機大量的內存。軒轅鴻要的就是這個效果，將兩份起點鏡相和兩份中毒後的鏡相分別對應，軒轅鴻開始比前一次更細致的對比分析……

“文件變動……感染頁麵文件，.htm/.html/.asp/.php/.jsp/.aspx文件，添加木馬惡意代碼。”

“注冊表變動……典型文件感染方式，exe、scr、pif、com都是感染對象。”

病毒的這兩點操作看來是在任何係統上都要進行的，這和上麵得出的分析結果一樣。

“循環遍曆磁盤目錄，感染文件，跳過關鍵係統文件……惡毒！”這是病毒新發揮出來的一個很惡毒的功能。意思是這個病毒會反複查詢係統盤下的文件，除了關鍵的係統文件跳過以外，其他的所有係統文件全部感染！

“利用微軟自動播放功能？！”軒轅鴻在兩台xp虛擬機的各個盤的根目錄下，都發現了由病毒自己生成的自動播放文件。這個文件是windows自帶的功能，就象你往光驅裏放入光盤會自動播放一樣，病毒生成的程序也能讓訪問者自動被感染：當使用者打開相應的盤符，由病毒生成的自動運行文件就會在後台悄悄的執行病毒體，讓操作係統反複感染病毒——這就是很多朋友中病毒後，為什麼格式化了係統盤，重新安裝了係統，再進入係統的時候發現係統仍然被病毒感染的原因！

仔細比較監控鏡相，軒轅鴻又得出了兩種病毒的感染方式。總結起來現在這個病毒已經有四種感染方式：

1.循環遍曆磁盤目錄，感染文件，對關鍵係統文件跳過。

2.感染所有EXE、SCR、PIF、COM文件。

3.感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木馬惡意代碼。

4.利用微軟自動播放功能傳播自身。

這四種感染方式在軒轅鴻眼中，都是極其普通的病毒功能，一點能讓人奇怪的地方都沒有。

“這個病毒的什麼功能還沒有被發現呢？”軒轅鴻思考著。東哥發過來病毒樣本的時候，曾經說，這個病毒集合了很多黑客技術中的文件隱藏手段，為什麼自己通過文件跟蹤卻沒有發現呢？

“仔細測試一下網絡功能吧！”軒轅鴻感覺使用簡單的病毒研究程序並不方便，但既然已經開了頭，就要把測試做完。

利用還原精靈的還原功能，軒轅鴻重新啟動兩套幹淨的xp虛擬機，並且將他們組建成一個常見的局域網，然後啟動網絡監控程序，準備開始對兩個虛擬機在網絡中的數據包收發進行分析。準備好一切監控和抓圖工具，軒轅鴻在一台XP的虛擬機上觸發了病毒，然後立即開始一邊抓圖保存，一邊緊密關注虛擬機網絡中數據包動作的工作。