病毒名称:
Win32.MGF.4408
类别: 蠕虫病毒
病毒资料:
破坏方法:
一个感染PE文件的病毒,病毒大小4408字节。该病毒为系统打开了一个Ring3到Ring0的直接后门,使用存在后门的系统不论当前用户级是什么都能对系统进行毁灭性破坏。
病毒形为:
该病毒从栈里得到kernel32的地址,定位好一些要使用的api后根据当前系统类型对系统开一个ring0后门。
win9x下:
病毒将直接利用系统对全局描述表的页保护漏洞直接修改为系统增加一个Ring0调用门。
win2k,winXP:
病毒将把%system32%\miniwdm.sys修改并启动。(病毒将增加一个为Miniwdm服务名的服务)其中的代码完成和win9x下类似的功能。对系统加一个ring0调用门。
成功后病毒将根据系统类型进行内存感染。
win9x下:
病毒申请一块系统内存并将病毒体分成两部份一部分在kernel32模块的空隙里。
另一部分在申请的内存中。病毒修改KERNEL32的CreateProcessA函数。
win2k,winxp:
病毒将自己复制到user32及kernel32模块的空隙中,并修改CreateProcessW函数。
当系统CreateProcessW(WIN2K,WINXP)或CreateProcessA(win9x)函数被调用时病毒将伺机对其文件进行感染。
局域网传播:
病毒将遍历网络资源,并尝试联连将%system%unblaster.exe文件复制过去。
病毒的发作:
病毒将在3,6,9,12月的周五,周六,周日发作。。发作时显示一个消息框。
标题:莫国防的技术使者之宣言
内容:
本使者为传播技术而来,已在这里安营扎寨。我无恶意,不必担心!
致我的偶像比尔.盖茨:你的几个傻瓜手下,轻视我的漏洞报告,你该打他们的PP!
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-29
