Win32.Gdata.b.4096

这是个具有感染能力的下载器程序。它会巧妙地插入病毒指令到正常的EXE文件中，而被感染的文件大小不变。当运行起来后就注入代码到系统桌面进程中执行，远程下载其它病毒文件到用户电脑上。

1,被感染文件,被感染的文件大小不变,病毒找到节表空闲处插入代码,改入口地址到新插入的病毒指令处;
2,文件运行时优先执行病毒的指令,遍历当前进程,找到explorer.exe是否存在,假如存在,注入病毒指令并创建远程线程在explorer进程空间执行;
3,假如注入指令成功,explorer会执行异或解密一段字符,获得下载地址http://61.1**.5*.71/5555555.exe,并下载%SystemRoot%\Temp.exe执行.