请KV300用户注意,又一特洛依木马程序:PICTURE.EXE广为流行,江民公司的KV300(Y版本)已可查出清除。该黑客程序12月份开始流行,最开始的程序名并不叫PICTURE.EXE，而称为MANAGER.EXE。该特洛依木马程序通过EMAIL附件的方式进行散播，如果您不小心运行了附件中的该程序，那么下面的事就会发生：当它运行后，它将NOTE.EXE程序（与PICTURE.EXE一模一样）放到WINDOWS子目录下，并将NOTE.EXE加到WIN.INI文件的RUN行下，因此当系统一启动，它就能被执行。

　　当NOTE.EXE程序运行时，它会在WINDOWS文件夹中查找文件：$2321.exe，如果此文件不成在，该程序将试图在C盘的根目录下建立一个临时文件名称为：file0001.chk,如果建立成功，它就会在此驱动器中建立TXT和HTML文件的列表。

　　该程序会对本机的所有驱动器（C、D、E。。。）重复这样的操作，一直到不能建立临时文件为止（通常是CDROM驱动器），文件的列表接着被写入文件：$2321.dat,将每一个ASCII码都加上5进行加密，接着程序退出。下一次，NOTE.EXE程序运行时，也就是机器重新启动，该程序就从文件$2321.dat中读取文件列表。检查文件中内容，它接着从C:\Windows\Temporary Internet Files 子目录建立URL的文件列表，并将它们写入另一文件：$4135.dat,而且也在Windows 目录下，次文件也被加密（每个ASCII字符都被减5），程序接着退出。

　　如果用户有美国在线客户端软件安装在硬盘上，该程序也会检查C:\AOL\IDB\MAIN.IDX文件，此文件包含着用户的用户名及密码（由于Cache 保存的），也许还是为准备发回给该黑客程序的作者的。下一次MANAGER.EXE运行，它就会试图将文件$2321.dat和文件$4135.dat发送到一
个在中国的EMAIL地址！