病毒传播:
1)在系统默认临时文件夹内释放sfc????.exe。
2)在系统目录释放Invictus.DLL(该动态库用于感染,并且使用UPX压缩)。
3)修改system.ini,将Shell=xxxxxx.exe 修改为 Shell=xxxxxx.exe ???.exe,以便每次启动时将病毒启动。
4)修改注册表,共享整个C:。
5)感染可执行文件,尤其是Windows目录下的HH.exe。
病毒特点:
1)感染后的文件入口RVA变为0,因为EXE文件头“MZ”是合法指令,病毒就得以运行。
2)病毒破坏了部分文件头以及Stub程序,因此杀毒后的文件很可能不能再在DOS下运行。
3)该病毒通过搜索ICQ网站来取得邮件地址,使用SMTP协议将带毒邮件发给各个用户(采用匿名方法)。
4)病毒发作时会弹出一个对话框,并用随即字符填充背景。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2001-11-1
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
