病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
730848
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是灰鸽子木马病毒的一个变种。运行该病毒会在系统留下后门。
1、生成的文件
%ProgramFiles%\Explorer.exe
%DocumentsandSettings%\administrator\LocalSettings\Temp\E_4\HideProc.dll
%DocumentsandSettings%\administrator\LocalSettings\Temp\E_4\krnln.fnr
%DocumentsandSettings%\administrator\LocalSettings\Temp\E_4\shell.fne
%DocumentsandSettings%\administrator\LocalSettings\Temp\gkdieudjs#@.exe
%SystemRoot%\uninstal.bat
%SystemRoot%\SystemServer.exe
2、注册表修改项
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
"Explorer"="%ProgramFiles%\Explorer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemServer
"Description"="Windows磁盘治理."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemServer
"DisplayName"="SystemServer"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemServer
"ImagePath"="%SystemRoot%\SystemServer.exe"
3、该病毒会在内存中生成Explorer.exe进程,该进程在任务治理器下是看不到的,并且它会不停的生成一个gkdieudjs#@.exe的进程,该进程不会运行很长时间,在进程治理器可以看到它一闪而逝,它主要是负责维护SystemServer.exe文件。
4、该病毒添加的服务
名称:SystemServer
描述:Windows磁盘治理.
可执行文件路径:%SystemRoot%\SystemServer.exe
5、uninstal.bat文件内容
---------------------------------------------------------
:try
del"%LocalSettings%\Temp\gkdieudjs#@.exe"
ifexist"%LocalSettings%\Temp\gkdieudjs#@.exe"gototry
del%0
exit
---------------------------------------------------------
