这是一个病毒捆绑器。它能够将其它的病毒文件捆绑到普通文件中,利用这些文件的复制进行传播。当用户运行这些普通文件时,该捆绑器就会将病毒释放。
1.病毒取kernel32基址,并取得GetProcAddress以及LoadLibrary函数。
2.病毒调用以上函数,并载入病毒使用的dll以及取得函数地址。
3.病毒定位自身中的文件位置,取得文件名并解密文件内容(简单异或)。
4.病毒取临时文件夹位置,并释放文件至临时文件夹并执行(ShellExecute)。
5.病毒重复3-4步动作,直至没有需要释放的文件,病毒退出。
6.病毒与木马一同捆绑的文件包括rar文件,rm文件等非PE文件。