1、网络特征

ant.trenz.pl 

ilo.brenz.pl

2、文件特征

通过对文件的定位，使用PEID查看文件区段，如果条件符合增加了7个随机字符区段的文件，则判定为受感染文件。

3、受感染特征

参考：

【病毒分析】Virut.ce-感染型病毒分析报告

http://www.cnblogs.com/17bdw/p/7776877.html

4、证明正常进程空间里含有恶意代码

把受感染进程的内存dump出来，通过微软工具String将内存里的字符串打印出来，搜索IOC域名字符串就可以看到网络特征里的域名了。注：图中604这个PID号对应受感染后的Winlogon进程。

尝试把Winlogon的DLL全都dump出来，依次用Strings打印出来。就可以定位到哪个DLL里有被注入的ShellCode了