学习病毒分析,目前自己只达到了这个水平，不知道能不能拿个邀请码..这个病毒的样本，加了注释的IDB文件,释放的DLL,我打了一个包放了出来..释放的DLL不知道怎么回事,哪位大神可以给指点一下.
一、病毒标签：
病毒名称：  
病毒类型：  木马
文件MD5： 5CA7344508EC2EEF0A84E35150AC6FD25FC02C1C
文件长度：  脱壳前276,480字节，脱壳后376,832字节
受影响系统：Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具：未知
加壳类型： 未知
二、病毒描述：
   修改注册表，自启动，注入explorer.exe执行远程代码。
三、行为分析：
   病毒首先判断操作系统版本，以及explorer.exe的大小和修改时间， 并且创建事件对象"VBHSDDXCASDFERRBNM_BOB"来保证系统中只有一个实例在运行。
然后将自身文件复制到系统目录system32下，并释放cao220.txt与cao110.dll文件，设置隐藏属性。启动进程regsvr32.exe 参数为/s cao220.txt,安静模式执行命令。查找"AlertDialog"和"Product_Notification"窗口，模拟用户点击退出。过瑞星的实时监控，找到RavMon.exe进程，后枚举其中控制监视窗口的那个线程，模拟用户点击，关闭实时监控。填加注册表启动项SoftWare\Microsoft\Windows\CurrentVersion\Run，
键值为c:/windows/system32/zhido.exe。向explorer.exe中注入病毒代码，并远程执行。如果写入失败，则加载起cao110.dll，之后则进入消息循环中。
    释放的DLL中，没有看到具体行为。

四、清除方案：
1．删除释放文件 
2．删除注册表SoftWare\Microsoft\Windows\CurrentVersion\Run中对应键值。

上传的附件

1.rar