此病毒启动后会将自己拷贝到系统目录下并且在后台隐藏运行此病毒将自己注册成为服务进程在后台隐藏运行,尝试连接网路,如果网络连接失败的话,此病毒还会尝试利用拨号连接网络,此病毒网络连接成功后会向指定的地址利用HTTP的方式下载文件到本地,并且还会拦截用户的输入,窃取指定软件的安全信息并保存在指定的文件中,然后利用FTP的方式将文件上传的指定的地址中。
1.修改注册表:
在注册表中添加3项自启动项
1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run
"logon.exe" : %SYSTEM%\LOGON.EXE
2
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\RunServices
"logon.exe" : %SYSTEM%\LOGON.EXE
3
HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\RunServices
"logon.exe" : %SYSTEM%\LOGON.EXE
病毒的清除法: 删除注册表中的下列项
1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run
"logon.exe" : %SYSTEM%\LOGON.EXE
2 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\RunServices
"logon.exe" : %SYSTEM%\LOGON.EXE
3 HKEY_CURRENT_USER\Software\Microsoft\Windows
\Currentversion\RunServices
"logon.exe" : %SYSTEM%\LOGON.EXE
删除文件
%SYSTEM%\LOGON.EXE 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-10-27
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
