病毒别名:
处理时间:2005-09-09
威胁级别:★
中文名称:土匪
病毒类型:Win32病毒
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个感染型病毒,病毒运行后会首先感染explorer.exe文件,当被感染的
explorer.exe再次运行时,病毒代码会创建线程,感染从F:至Z:盘的所有EXE文
件,同时病毒线程还会监控键盘,窃取用户密码,病毒线程还会连接固定的网址,
下载更新病毒。
1. 病毒体将自身添加在EXE文件的尾部,并通过修改EXE程序的入口,获得程序控制权。
病毒代码还会自行建立API函数导入表。
2. 病毒体为了修改正在执行的EXE文件,病毒会关闭WINDOWS的文件保护机制。
3. 病毒代码遍历系统进程,通过比较进程ID号,判断运行的EXE文件是否是explorer.exe
文件。如果不是explorer.exe文件,病毒体会尝试修改explorer.exe文件,并在文件
的末尾标记感染标志字节0x00424642;如果运行进程是explorer.exe文件,病毒体会
开启线程,由于系统启动后,explorer.exe总是要运行的,所以explorer.exe一旦被
感染,病毒线程总是会被开启的。
4. 被开启的病毒线程会搜索从F:至Z:盘的所有EXE文件,并进行感染。
5. 病毒线程还会利用系统钩子,监控用户的键盘操作,并将记录保存在%SYSTEM%目录
下AdvKey.dll文件中。
6. 病毒线程还能连接网络,下载更新病毒体。