病毒冒充“电影场记板” 打开电脑“后门”

　　当你看见一个“电影场记板”图样的文件出现在邮件里，会不会好奇地想要点击一下这个文件，看看它到底会如何运行?如果答案是“肯定”的话，Backdoor.Tidserv木马病毒很可能就会通过这个渠道进入你的电脑。

　　病毒冒充“电影场记板”图样的文件

　　Backdoor.Tidserv是一个非常“狡猾”的病毒，其传播渠道和隐藏技术都十分多变。从传播渠道来讲，Backdoor.Tidserv可以将自己伪装为令人好奇的图标，作为垃圾邮件的附件进入用户计算机，驱使用户点击而触发病毒的执行;它还可能通过偷渡式下载的方式，在用户浏览某些不安全网页时自动载入用户计算机中。从隐藏技术来讲，Backdoor.Tidserv通常会被加壳，如Packed.Generic.200等。而且这个“壳”变种迅速，增加了防病毒软件查杀该病毒的难度。

　　Backdoor.Tidserv首先检查互斥量 \TdlStartMutex以确保每次在计算机中只有一个实例在运行。 紧接着，Backdoor.Tidserv会在受感染的计算机中生成并运行以UAC开头的病毒文件。同时，病毒还会释放一个DLL文件，并通过修改msvcrt.dll入口以通过启动系统服务MSISERVER来加载这个DLL文件。该DLL文件运行后，会释放出一个驱动程序，当该驱动程序运行时，将隐藏系统中所有以UAC开头的文件—这不仅包括以UAC开头的病毒文件，还包括其他与该病毒无关却以UAC开头的干净文件。如此以来，所有和病毒命名相似的文件都将被隐藏，增加了防病毒软件对该病毒的检测难度。

　　以下是我们根据病毒“自我隐藏”的特性所做的演示：

　　图一显示病毒运行前，文件夹的病毒文件Tidserv.exe，及其他以UAC开头的干净文件：

　　图一

　　图二显示病毒运行后，文件夹里的病毒文件，以及所有以UAC开头的文件(包括原有的干净文件和病毒生成的以UAC开头的文件)都被隐藏了：

　　图二

　　当计算机被Backdoor.Tidserv木马病毒感染后，用户可能会发现计算机中莫名其妙地跳出窗口播放一些“奇怪”的广告。另外，计算机的运行速度也可能变慢，因为Backdoor.Tidserv会在被感染的计算机中运行一些其他用户未知的程序，并打开一个后门。