病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
其它
病毒长度:
9209
影响系统:
Win9xWinNT
病毒行为:
这是一个感染型病毒的病毒原体,它会感染explorer.exe文件,被感染的explorer.exe
在每次运行时会开启一个后门线程,随时等待远程终端的控制。
1.创建名为"BeavisMutex"的互斥体,保证只有一个病毒体在运行。
2.将自身拷贝到%system%目录下,并添加注册表启动项,以实现开机自启:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"WebService"="%system%\病毒文件名"
不但如此,病毒又改头换面,将自身再次复制到%system%目录下,命名为
soft.exe,而且也添加了注册表启动项:
[HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
"run"="%system%\soft.exe"
然后病毒体由添加了另一个注册表项:
[HKLM\Software\Microsoft\ActiveSetup\InstalledComponents\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}]
"StubPath"="%system%\soft.exe"
3.修改注册表,关闭系统备份功能,然后对
%WinDir%%System%\dllcache%WinDir%\ServicePackFiles文件夹中的explorer.exe进行感染,同时还在%WinDir%目录下存放一个感染备份文件explorere.new。
病毒还会在被感染的explorer.exe文件的末尾留下8个字节的感染标记:
0xFF0xFF0xFF0xD00xC90xC20x080x00
病毒在%WinDir%目录下创建了名为wininit.ini的配置文件,内容如下:
[rename]
%Windir%\explorer.exe=%Windir%\explorer.new
被感染的explorer.exe在运行时,系统会弹出下面的提示:
4.病毒体还会收集系统的版本信息,并从下面这个网址
http://ad*****ash.***
下载其它可能的病毒文件。
5.被感染的explore.exe会开启一个病毒线程,每15分钟运行一次,
修改与系统安全相关的注册表项,并从上面的网址下载commands.ini
文件。