订阅病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
黑客程序
病毒長度:
730848
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒是灰鴿子木馬病毒的一個變種。運行該病毒會在系統留下後門。
1、生成的文件
%ProgramFiles%\Explorer.exe
%DocumentsandSettings%\administrator\LocalSettings\Temp\E_4\HideProc.dll
%DocumentsandSettings%\administrator\LocalSettings\Temp\E_4\krnln.fnr
%DocumentsandSettings%\administrator\LocalSettings\Temp\E_4\shell.fne
%DocumentsandSettings%\administrator\LocalSettings\Temp\gkdieudjs#@.exe
%SystemRoot%\uninstal.bat
%SystemRoot%\SystemServer.exe
2、注冊表修改項
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"Explorer"="%ProgramFiles%\Explorer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemServer
"Description"="Windows磁盤治理."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemServer
"DisplayName"="SystemServer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemServer
"ImagePath"="%SystemRoot%\SystemServer.exe"
3、該病毒會在內存中生成Explorer.exe進程,該進程在任務治理器下是看不到的,並且它會不停的生成一個gkdieudjs#@.exe的進程,該進程不會運行很長時間,在進程治理器可以看到它一閃而逝,它主要是負責維護SystemServer.exe文件。
4、該病毒添加的服務
名稱:SystemServer
描述:Windows磁盤治理.
可執行文件路徑:%SystemRoot%\SystemServer.exe
5、uninstal.bat文件內容
---------------------------------------------------------
:try
del"%LocalSettings%\Temp\gkdieudjs#@.exe"
ifexist"%LocalSettings%\Temp\gkdieudjs#@.exe"gototry
del%0
exit
---------------------------------------------------------
