病毒名称:
Trojan.Magiclink.24.c.enc
类别: 木马病毒
病毒资料:
破坏方法:
病毒采用jpg文件图标。诱惑用户双击。
1.运行后病毒释放图片“magic.jpg”,用IE打开显示给用户。
病毒偷偷拷贝自身为系统目录“magic.exe”,创建文件“firstrunmagic.txt”作为文件驻留标志,启动系统目录的magic.exe,进行下列破坏行为,而本程序退出。
2.释放MMSYSDLL.DLL。
win9x下,调用其中的sethook函数, 挂结eXPlorer.exe的消息派发钩子,然后立即向其发送消息WM_MOUSEMOVE,采用这种方式将MMSYSDLL.DLL注入到explorer.exe中。
win2000和xp下采用远程线程的方式注入。
病毒在explorer中开辟新的线程,进行破坏活动。
3.病毒创建MMDLLTXT.HTM,内容只有“abc”三个字符串。病毒打开该文件,这样IE就被运行了。
病毒将MMSYSDLL.DLL用同样的办法注入IE中。
这样病毒以IE的名誉进行网络通讯,接收远程控制命令,对本地进行文件浏览、进程浏览、键盘记录等等各种控制操作。
普通的防火墙都不会拦截。
4.病毒创建互斥量“magic_normal_run”避免重复驻留。
在win2000和xp下,病毒创建服务"Performance Service"
建议用户发现此病毒后,立即断掉网络连接,杀毒后立即重新启动机器。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-10-31