病毒名称:
W32.Golsys.8020
类别: 蠕虫
病毒资料:
受影响系统:Windows 95, Windows 98, Windows NT, windows 2000, Windows XP, Windows Me
不受影响系统:Windows 3.x, Macintosh, Unix, Linux
病毒危害:
修改文件:病毒会试图感染PE(32位)文件
病毒传播;
共享驱动器:会试图感染映射驱动器上的PE(32位)文件
技术特征:
这是用汇编语言编写的一个病毒,它会在被感染机器上创建%system%Sysl0gon.exe文件,然后试图感染所有找到的文件,同时还会感染映射盘上的文件。
病毒运行后,首先查找Kernel32.dll的库,找到后会输入几个API。这些API是通过解析Kernel32.dll的输出表格而被输入的。接着,病毒会分配4,940个字节的内存,再载入Kernel32.dll到其自己的内存空间。通过将此.dll文件载入到自己的内存空间,病毒不必解析此文件的输出表格,而是用一个windows API来做输入的工作。
然后,病毒会输入一长串来自Kernel32.dll的函数列表。该列表储存有这些函数在内存区域中的地址。在输入完所有需要的API后,病毒会创建第二个线程,用来查找%system%文件夹的路径并且在此文件夹下创建Sysl0gon.exe文件。
之后,病毒从几个.dll文件中输入更多的API。所有这些完成之后,它会删除%system%文件夹下的Sysl0gon.exe或用xor异或进行加密。
此病毒会创建许多线程,每一个线程会增加一个计数器。这些线程搜索系统上的所有驱动器,然后感染找到的所有可执行文件,并且在感染时会作感染标记,使得它不会对文件进行重复感染。
病毒自身以一个服务进程来运行,在文件感染期间它也会"休眠"一段时间,旨在不被用户发现。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
新病毒"Golsys"会感染映射驱动器上的PE文件
发现日期:
2002-8-2
