进程管理知识库 - reper.exe - reper

　　进程文件：reper or reper.exe

　　进程名称：reper

　　进程类别：

　　英文描述：

　　Sorry,No English Decription for this Process.

　　中文参考：

　　WINDOWS下的木马程序

　　1.病毒启动后将自己先拷贝到windows目录下命名为VIEWER.EXE ,拷贝到系统目录下命名为 N0TEPAD.EXE 注册为服务进程在后台隐藏运行。

　　2.

　　在注册表中添加一项自启动项如下：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

　　"runreper" = %WINDOWS%\VIEWER.EXE

　　修改txt文件的文件关联

　　HKEY_CLASSES_ROOT\txtfile\shell\open\command

　　(默认) = %SYSTEM%32\N0TEPAD.EXE %1

　　3.启动一个线程不停的在系统中搜索含有下列字符串的进程并将其强行结束:

　　"regedit.exe"

　　"taskmgr.exe"

　　"cmd.exe"

　　"ntvdm.exe"

　　"proc"

　　"毒"

　　"木马"

　　"杀"

　　4.设置一个时钟，每隔1.2秒就对当前的系统逻辑分区遍历一次，每遍历到一个逻辑分区就将病毒文件写入分区的根目录，并命名为 reper.exe 然后写入一个 autorun.inf 文件，这样只要每次通过双击鼠标打开一个分区时病毒文件就会被运行。遍历完分区后病毒会重新写入注册表的启动项和txt文件的关联项，因此只要病毒进程没有被结束的话注册表和各个分区的中的病毒文件就不能被彻底清楚。

　　5.由于此病毒不停的监控逻辑分区，因此一些移动盘接入被感染的系统后也会被写入病毒文件和inf文件。

　　出品者：

　　属于：

　　系统进程：No

　　后台程序：No

　　网络相关：Yes

　　常见错误：N/A

　　内存使用：N/A

　　安全等级 (0-5): 3

　　间谍软件：No

　　广告软件：No

　　病毒：Yes

　　木马：Yes