这是一个用DELPHI写的感染型病毒。
该病毒运行后:
一:在Windows目录下的Downloaded Program File目录里创建一个名称为tnumbs.db的动态库文件,把该文件的属性设置为隐藏,并注入系统其他进程中。
二:判断当前系统版本,如果是XP系统,病毒就会修改每个进程中的几个API地址CreateFile,FindFirstFile,FindNextFile,达到隐藏自己的目的。
三:创建多个注册表键值,达到自我启动的目的
SYSTEMCurrentControlSetServicesRemoteAccess
SYSTEMCurrentControlSetServicesW32Time
SYSTEMCurrentControlSetControlSafeBootMinimalW32Time等等。
四:启动多个线程
1:写注册表线程:这个线程用一直会写注册表的启动项。
2: 感染线程:病毒会遍历硬盘上所有后缀名为EXE,在文件的末尾添加自己的感染数据。
3: 自我更新:病毒会在后台访问"http://www.md80.cn/muniu/new/?v=2"
"http://www2.md80.cn/muniu/new/?v=2"
"http://www3.md80.cn/muniu/new/?v=2"这些网站,如果有更新,就会下载下来,替换原来的版本。
4:偷密码:病毒会遍历当前窗口是否是IE浏览器,如果是的话,就会寻找窗口中的可以输入密码的文本框,并把其中的密码记录下来。
5:修改注册表关于隐藏文件的键,达到隐藏自己的目的。
6:那自己复制到可移动设备中,比如U盘等。在移动设备的根目录上创建自启动文件,达到传播自己的目的。
7:病毒还会遍历局域网中的可写目录,感染可写目录中的文件。
http://hi.baidu.com/zonga