（被病毒劫持的淘宝页面）

专家解释，该病毒是通过SSDT hook挂钩了NtDeviceIoControlFile函数，用于监控用户对外发送的数据和接受的数据。经过分析，被监控的网站主要有4种：传奇私服网站、赌博网站、淘宝网、天猫商城，一旦用户访问这四类网站被发现，病毒即会对其HTTP返回包进行相应的处理。此外，该病毒运作逻辑中加入了关机回写的机制，即在关机时木马残留可“回写”程序卷土重来。目前腾讯电脑管家已可彻底拦截查杀该病毒，阻断回写后路。