病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
黑客程序
病毒长度:
79176
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个注入IE进程的后门,它会放出另一个后门供黑客控制受感染机。
1:拷贝与释放文件
病毒运行后,会把自己拷贝到系统目录下,命名为expl0rer.exe
并在同一目录下释放一个病毒名为Win32.Troj.PCSpy.d.2012736的病毒文件
(拷贝)%system%\expl0rer.exe
(释放)%system%\expl0rer.dll(Win32.Troj.PCSpy.d.2012736)
2:更改注册表
病毒会在注册表中添加一项,使自己能随Windows启动。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Shell->Explorer.exeC:\WINDOWS\system32\expl0rer.exe
3:注入IE进程并开放后门
病毒在释放了expl0rer.dll后,会寻找InternetExplorer的进程,若找到,则把该文件注入IE进程里面运行,若没有发现,创建一个隐藏窗口的IE后再注入。
注入后,该病毒(Win32.Troj.PCSpy.d)就会被激活,依靠InternetExplorer工作,就是平常所说的"Dll木马"。之后该木马就会打开一端口,供黑客控制受感染机之用。
