病毒名称(中文):
土匪
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
13937
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个感染型病毒,病毒运行后会首先感染explorer.exe文件,当被感染的
explorer.exe再次运行时,病毒代码会创建线程,感染从F:至Z:盘的所有EXE文
件,同时病毒线程还会监控键盘,窃取用户密码,病毒线程还会连接固定的网址,
下载更新病毒。
1.病毒体将自身添加在EXE文件的尾部,并通过修改EXE程序的入口,获得程序控制权。
病毒代码还会自行建立API函数导入表。
2.病毒体为了修改正在执行的EXE文件,病毒会关闭WINDOWS的文件保护机制。
3.病毒代码遍历系统进程,通过比较进程ID号,判定运行的EXE文件是否是explorer.exe
文件。假如不是explorer.exe文件,病毒体会尝试修改explorer.exe文件,并在文件
的末尾标记感染标志字节0x00424642;假如运行进程是explorer.exe文件,病毒体会
开启线程,由于系统启动后,explorer.exe总是要运行的,所以explorer.exe一旦被
感染,病毒线程总是会被开启的。
4.被开启的病毒线程会搜索从F:至Z:盘的所有EXE文件,并进行感染。
5.病毒线程还会利用系统钩子,监控用户的键盘操作,并将记录保存在%SYSTEM%目录
下AdvKey.dll文件中。
6.病毒线程还能连接网络,下载更新病毒体。
