Win32.Hidrag

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

其它

病毒长度:

36352

影响系统:

Win9xWinNT

病毒行为:

该病毒是一个PE感染型病毒。感染本机固定磁盘上的所有PE文件,并加密原文件的资源节,由于该病毒技术上的一些原因,导致被感染后的文件不能正常运行。

1.判定文件偏移0x610处是否为“Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/”

该字符串被加密,原字符串应为“HiddenDragonvirus.Borninatropicalswamp.”

如是则已被感染病毒。

2.创建一个名为“GlobalPowerManagerMutant”的互斥量

3.把文件属性设为系统、隐藏

4.复制自身到临时文件夹并运行。

5.复制自身到%SystemRoot%\svchost.exe并运行

6.把当前进程注册为服务

7.向注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

添加PowerManager=%SystemRoot%svchost.exe

8.向系统注册一个服务

ServiceName=PowerManager

DisplayName=PowerManager

StartType=SERVICE_AUTO_START

ImagePathName=%SystemRoot%\svchost

说明=Managesthepowersavefeaturesofthecomputer.

9.加密原文件的资源节

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航