这是Delphi写的后门,具有一定破坏性,且有蠕虫特性,能主动传播,难以手动清除。
病毒运行后将自己拷贝到Windows目录下,文件名为
svchost.exe。
然后写注册表项:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Microsoft : %Windir%\svchost.exe
(%Windir%指Windows安装目录)
这样,每次开机病毒都能启动。
并且病毒会修改exe文件的关联方式。这样,每次运行exe文件的时候都会激活病毒。
修改以下注册表项使得系统不显示隐藏文件,不显示已知文件扩展名,增强病毒隐蔽性。
HKCU\Software\Microsoft\Windows
\CurrentVersion\EXPlorer\Advanced
HideFileExt = 0x1
HKCU\Software\Microsoft\Windows
\CurrentVersion\Explorer\Advanced
Hidden = 0x2
病毒显示一张刘德华的照片作为界面,鼠标单击后界面退出,但病毒仍在后台运行。
遍历并感染exe文件,将正常文件附在病毒尾部,图标保持不变,文件大小要增加610k。
枚举网络,将病毒复制到网络上其他机器的共享文件夹中,文件名为“我的照片.exe”,使这个后门有了蠕虫特性。
遍历进程和窗口,结束以下反病毒软件和防火墙:
pfw.exe,
kvfw.exe,
KAVPFW.EXE,
iamapp.exe,
nmain.exe,
freepp.EXE,
freekav.EXE,
freesys.EXE,
Iparmor.exe,
trojan_hunter.exe,
Rfw.exe,
瑞星....
而且病毒会从硬盘上删除这些反病毒软件。这些都是在国内使用比较广泛的软件,可见病毒作者应该来自国内。
该木马是一个反弹木马,主动连接外部主机。连接上以后黑客可对受害机器进行多种操作,如获取系统信息,目录、文件浏览、上传下载、运行,删除,进程浏览、结束,注册表浏览、修改,监控键盘操作,添加账户...
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2005-1-13
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
