第一步,下载,复制
第二步,杀毒………………
以下是病毒的信息
病毒名称(中文):病毒别名:威胁级别:★☆☆☆☆病毒类型:木马程序病毒长度:204800影响系统:WinNT Win2000 WinXP
病毒行为:
判断病毒文件"svchost.dll"是否注入到包含关键字"winlogon.exe"的进程。
创建线程判断客户计算机上的系统时间是否2005年或之前,如果不是则设置系统时间为2005年。
病毒文件"svchost.dll"注入进程 explorer.exe 。
创建线程删除安全软件的注册表和服务。
读取指定的网址获取木马程序的下载地址,获取成功后下载木马程序保存在客户计算机上并运行。
生成的文件:
%SystemRoot%\system32\svchost.dll
%SystemRoot%\system32\dllcache\svchost.exe (正常系统上也有此文件,但中此病毒的系统,此文件被病毒文件覆盖)
添加的注册表:
Key:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe -g"
Key:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
Key:HKEY_LOCAL_MACHINE\System\CurrentCOntrolSet\Services\svchost
ImagePath:"%SystemRoot%\system32\dllcache\svchost.exe -g"
总结:病毒会覆盖正常系统下指定文件夹下的文件,通过创建注册表服务以达到开机自启动的作用。病毒会删除客户计算机上指定安全软件的服务和注册表,以达到开机时不让安全软件自启动,并从网络上下载木马程序保存到客户计算机上运行。
也就是收,这个会不断下木马到你的机器,所以没杀毒的自己好好想想吧。
不过,我声明我绝无恶意,对BZ大大的工作也表示支持。