病毒名称:
Win32.nCit
类别: 蠕虫病毒
病毒资料:
破坏方法:
这是一个集木马和PE病毒于一体的病毒。
1.该病毒感染PE类型的文件。
首先,提取原来exe文件的图标信息,替换自己的图标。
然后,将原来的exe放在自己的后面,
最后,附加0x3F的字符串信息:“ ncit99090B?^_^2gmy E-mail wouihzke@263.net”
这样生成一个新的文件,覆盖原来的文件。
2. 当被感染的文件运行后,病毒被激活。
释放木马Trojan.Fake.Systray,驻留内存,打开后门。
将原来的程序还原在当前目录下或系统目录下,名称多一个空格,并运行。使用户感觉不到病毒的存在。
3. 枚举磁盘文件,感染所有PE格式的exe文件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-4-3