扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是一个蠕虫病毒。该病毒会遍历磁盘,感染全部的正常文件,并试图关闭安全软件。接着,它连接病毒作者指定的服务器,下载其它的病毒到用户电脑中运行。
1. 判断自己是否是在系统盘下的MSDOS.bat,如果是的话会将系统盘目录打开,创建目录%windows%\Tasks,
删除Task目录下的0x01xx8p.exe文件,将自身复制为%windows%\Tasks\0x01xx8p.exe文件;
2. 延时5秒,创建一个线程,每隔4秒就设置一下系统时间为2004年1月1日;
3. 拷贝自身到%System Root%\spoolsv.exe, %Windows%\Tasks\spoolsv.ext %Windows%\Tasks\SysFile.brk,
并删除自身文件;
4. 将要感染的病毒代码赋值到缓存,将被感染文件的最后一个节改名为.WYCao,注入被感染代码和自身病毒体,
感染成功后替换原文件;
5. 遍历进程判断是否存在如下进程, avp.exe, kvsrvxp.exe, kissvc.exe,如果存在的话则强制结束,
病毒只是简单调用API来结束进程,一般来说是结束不了的;
6. 创建多个线程,行为分别如下:
删除表项 SOFTWARE\Data\Config,设置HKLM\SOFTWARE\Data\Config值为"http://2**p.cn/config.txt",
往系统目录下拷贝病毒体,遍历文件感染.
7. 从http://2**p.cn/config.txt下载config文件,根据文件约定好的行为做不同的操作,可能会下载更多的
木马到本机.
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。