病毒名称(中文):
土匪
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
13824
影响系统:
Win9xWinNT
病毒行为:
这是一个windows环境下的感染型病毒,被感染的可执行文件运行完
感染代码后依然继续本身的操作,所以该病毒不会产生任何病毒进程,
很难被人发现。感染代码还会开启后门,使系统成为被攻击的对象。
1.感染代码首先提高自身权限,关闭windows的文件保护机制,然后寻找%SystemRoot%下的
系统文件explorer.exe,检查文件最后的4个字节是否是"BFB\0"。这四个字节是文件是否
被感染的标志,病毒正是利用这个标志判定是否对文件进行再次感染。
2.感染完explorer.exe后,感染代码会开启远程线程,然后感染代码运行结束,可执行程序
继续本身的操作。
3.被开启的远程线程会定时扫描硬盘各个分区,寻找exe文件继续进行感染。同时远程线程还
具有网络功能,使系统具有后门,成为被攻击的对象。
