outerinfo.exe,scanregw.exe，explorer.exe,顽固下载器71168,Win32.TrojDownloader.PurityScan.71168是个木马下载器程序。此毒为了对抗反病毒厂商和高级用户的查杀，进行了较多的伪装，并且释放出的病毒文件路径及文件名均可变。

1.病毒首先检测当前环境是否是真实环境，发现是在虚拟机内运行时执行大量伪装的正常代码。

2.模仿正常软件执行过程，在注册表如下位置写入信息：
HKCU\Software\Acat,"ohsu"=2c 03 45 63(无用的16进制数)。
HKCU\Software\Cebs "Aacu"=24 12 45 65(无用的16进制数)。

3.在一可变路径下新建目录，在该目录下释放病毒副本文件，副本文件名也为可变，通过观察病毒副本文件可能位于：
c:\Documents and Setting\[username]\Application Data\system32\explorer.exe,
c:\programs Files\security\scanregw.exe；
副本文件路径有多种，不一一列出。

4.病毒创建自启动项来使释放的副本文件随系统加载：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
"ocss"=c:\programs Files\security\scanregw.exe -vt tzt（该值当前释放的病毒副本全路径）

5.病毒运行以参数-vt tzt运行所释放的副本文件；

6.新病毒进程开启后到指定地址读取病毒下载列表，病毒下载列表地址如下：
http://nf.o****info.com/notify.php