Win32.Tufik.b

王朝百科·作者佚名  2009-12-26
窄屏简体版  字體: |||超大  

病毒别名:

处理时间:2005-09-09

威胁级别:★

中文名称:土匪

病毒类型:Win32病毒

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个感染型病毒,病毒运行后会首先感染explorer.exe文件,当被感染的

explorer.exe再次运行时,病毒代码会创建线程,感染从F:至Z:盘的所有EXE文

件,同时病毒线程还会监控键盘,窃取用户密码,病毒线程还会连接固定的网址,

下载更新病毒。

1. 病毒体将自身添加在EXE文件的尾部,并通过修改EXE程序的入口,获得程序控制权。

病毒代码还会自行建立API函数导入表。

2. 病毒体为了修改正在执行的EXE文件,病毒会关闭WINDOWS的文件保护机制。

3. 病毒代码遍历系统进程,通过比较进程ID号,判断运行的EXE文件是否是explorer.exe

文件。如果不是explorer.exe文件,病毒体会尝试修改explorer.exe文件,并在文件

的末尾标记感染标志字节0x00424642;如果运行进程是explorer.exe文件,病毒体会

开启线程,由于系统启动后,explorer.exe总是要运行的,所以explorer.exe一旦被

感染,病毒线程总是会被开启的。

4. 被开启的病毒线程会搜索从F:至Z:盘的所有EXE文件,并进行感染。

5. 病毒线程还会利用系统钩子,监控用户的键盘操作,并将记录保存在%SYSTEM%目录

下AdvKey.dll文件中。

6. 病毒线程还能连接网络,下载更新病毒体。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航