感染PE文件的后门程序
病毒采用VC编写。
病毒运行后有以下行为:
一、将病毒文件复制到%WINDIR%目录下,文件名为"spoolsv.exe",并该病毒文件运行。"spoolsv.exe"文件运行后释放文件名为"mscheck.exe"的文件到%SYSDIR%目录下,该文件的主要功能是每次启动时运行"spoolsv.exe"文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
二、修改注册表以下键值:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"Microsoft Script Checker"
数据为:"MSCHECK.EXE /START"
修改该项注册表使"MSCHECK.EXE"文件每次系统启动时都将被运行,而"MSCHECK.EXE"用于运行"spoolsv.exe"文件,从而达到病毒自启动的目的。
三、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含"winnt"、"windows"字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
四、试图与局域网内名为"admin"的邮槽联系,创建名为"client"的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
显示或隐藏指定窗口、
屏幕截取、
控制CDROM、
关闭计算机、
注销、
破坏硬盘数据。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-12-29
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
