9月8日百锐安全实验室捕获到一种病毒的最新的变种AD.W32.OLG.dc。该病毒最早出现在今年6月份，之后对抗杀软进一步更新技术。最新变种感染后的计算机，每次开机无法执行任何操作，无法创建进程，电脑完全变成了广告宣传画(如下图所示)，该病毒用恶劣的技术手段控制计算机，在染毒后未重启的情况下，会加入winlogon启动项， 结束进程管理器，explorer.exe ，阻止任何新进程的创建。

　　相比最近热门的BMW bioskit 病毒而言，他没有使用复杂的底层计算机，但无论是正常重启，还是安全模式重启(仅当以命令行安全模式，管理员身份登录时，恢复explorer启动才行，清除相关修改项)，进行系统后都是无法进行任何操作。只能重新安装。该病毒目前可穿透多数流行的防御软件。

　　开启百锐仅当实时监控，动态启发式分析可以检测该病毒。

　　Jashla.exe是病毒的衍生文件

　　该病毒外层采用upx 加壳,运行后会加入大量混淆数据，防止静态分析

　　构造程序大量无意义跳转分析干扰分析

　　在大量的变形代码中，加入解密的过程，前段程序解密后端代码，此时在解密中0x40c840出代码，而此时0x40c840是空白数据

　　解密后是继续混淆的功能代码。

　　经过最终反复解密后，最终会运行真正的恶意代码

　　该病毒会释放自身到下面目录，随机创建文件名称,并执行该进程，同时自删除自身。后续操作有另外新启动的进程执行。

　　C:\Documents and Settings\%user% \Application Data\fjhyf.exe"

　　该程序会读取自身是否的配置文件，决对下一步操作。

　　同时开启线程，加载自身广告图片，设置当前系统的背景，此时用户无法操作界面上面图标，仅tab键可以使用。

　　判断操作系统版本，将自身进程路径加入到"Software\Microsoft\Windows NT\CurrentVersion\Winlogon"，中做到随机启动。如不成功在加入自启动项中。同时结束掉系统的任务管理器和资源管理器。同时监控系统新启动的进程，发现则结束掉。

　　在另一个线程中，截获windows消息过滤并转发，保证当前背景图片始终是自身设置的广告，而当前桌面所有图标均被隐藏。

　　该病毒纯以恶意破坏为主，ByteHero百锐信息安全实验室提醒广大网友使用包括ByteHero百锐金盾BSD1.0在内的未知病毒防御软件保护您的数据安全。