病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
10240
影响系统:
Win9xWinNT
病毒行为:
该病毒将自己复制的系统目录并改为随机文件名,同时也生成一个DLL文件并将它加载到特定的进程中(一般是Explorer.exe)。然后病毒以该进程的身份去指定网站下载并运行破坏力更大的病毒。病毒的这种方式具有很大的隐蔽性和迷惑性,用户很有可能会对此放行,从而感染新的病毒。
1.创建互斥体mutex_wininit.ini,防止多个实例运行。
2.将自己复制到%system%\<5-6位随机字符>.exe,并释放文件%system%\<与exe文件同名的5-6位随机字符>.dll,该DLL用于HOOK特定进程的消息。
3.修改注册表:
添加表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"<5-6位随机字符>"="%System%\<5-6位随机字符>.exe"
4.查找口类名为Progman窗口,并取得进程的ID,然后HOOK该进程的消息,从而将生成的DLL加载到该进程的空间,然后到指定的某些网站下载病毒文件并运行,开放后门。