其实,这个病毒RIS2010早就报了(Trojan.Win32.Generic.12053A2D)。
此毒在WINDOWS 7下基本不能运行,也不能改写MBR。
为了揭开此毒的神秘面纱,看看它什么德行,我只好重启到WINOWS XP下,看看它到底搞了些什么花样
一、XP环境下实机运行病毒的结果:
1、双击病毒程序chajiangengxin.exe后,它在当前用户临时文件夹中释放一个xxx.txt文件。此处x代表阿拉伯数字。虽然是txt文档,但它却是可执行程序。不信?查看其MD5并与它“老爸”对比(图1):
2、这病毒跟中招用户玩儿“障眼法”,汗!以致不少人认为“中此毒后的一个特征是windows\temp目录下反复出现alg.exe或ali.exe”。其实不是这么回事。看看病毒进程就明白了(图2、图3):
3、chajiangengxin.exe运行后多次访问网络(图4)
4、中招后,MBR确实被此毒改写了。图5为运行此毒前的MBR;图6为此毒运行后的MBR。
5、该毒运行访问网络后,不知咋的就报错了!汗!(图7)
6、此毒改写过的win.ini(图8):
7、此毒释放的文件(图9):
8、此毒运行后的注册表改动(图10):
接下来的步骤看1楼,
点击在新窗播放
