扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
当你看见一个“电影场记板”图样的文件出现在邮件里,会不会好奇地想要点击一下这个文件,看看它到底会如何运行?如果答案是“肯定”的话,Backdoor.Tidserv木马病毒很可能就会通过这个渠道进入你的电脑。
病毒冒充“电影场记板”图样的文件
Backdoor.Tidserv是一个非常“狡猾”的病毒,其传播渠道和隐藏技术都十分多变。从传播渠道来讲,Backdoor.Tidserv可以将自己伪装为令人好奇的图标,作为垃圾邮件的附件进入用户计算机,驱使用户点击而触发病毒的执行;它还可能通过偷渡式下载的方式,在用户浏览某些不安全网页时自动载入用户计算机中。从隐藏技术来讲,Backdoor.Tidserv通常会被加壳,如Packed.Generic.200等。而且这个“壳”变种迅速,增加了防病毒软件查杀该病毒的难度。
Backdoor.Tidserv首先检查互斥量 \TdlStartMutex以确保每次在计算机中只有一个实例在运行。 紧接着,Backdoor.Tidserv会在受感染的计算机中生成并运行以UAC开头的病毒文件。同时,病毒还会释放一个DLL文件,并通过修改msvcrt.dll入口以通过启动系统服务MSISERVER来加载这个DLL文件。该DLL文件运行后,会释放出一个驱动程序,当该驱动程序运行时,将隐藏系统中所有以UAC开头的文件—这不仅包括以UAC开头的病毒文件,还包括其他与该病毒无关却以UAC开头的干净文件。如此以来,所有和病毒命名相似的文件都将被隐藏,增加了防病毒软件对该病毒的检测难度。
以下是我们根据病毒“自我隐藏”的特性所做的演示:
图一显示病毒运行前,文件夹的病毒文件Tidserv.exe,及其他以UAC开头的干净文件:
图一
图二显示病毒运行后,文件夹里的病毒文件,以及所有以UAC开头的文件(包括原有的干净文件和病毒生成的以UAC开头的文件)都被隐藏了:
图二
当计算机被Backdoor.Tidserv木马病毒感染后,用户可能会发现计算机中莫名其妙地跳出窗口播放一些“奇怪”的广告。另外,计算机的运行速度也可能变慢,因为Backdoor.Tidserv会在被感染的计算机中运行一些其他用户未知的程序,并打开一个后门。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。