病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
11636
影响系统:
Win2000WinXPWin2003
病毒行为:
该病毒通过驱动直接操作磁盘扇区感染userinit.exe文件。
1、释放文件
病毒运行后,会释放并安装一驱动
%windows%\\system32\\drivers\\pcihdd.sys
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\PciHdd
"Type"="0x1"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\PciHdd
"Start"="0x3"
HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Services\\PciHdd
"ImagePath"="%WINNT%\system32\drivers\pcihdd.sys"
2、解密数据
病毒会通过释放的驱动文件解密数据,该数据用于感染userinit.exe文件。
3、感染文件
病毒会通过查找扇区的方式定位系统激活分区的userinit.exe位置,并用解密出来的数据
覆盖,大小为0x1000字节,病毒是通过直接对磁盘进行写操作,没有使用文件类的函数,
但病毒的设计有问题,会导致win2000系统的userinit.exe文件损坏,用户无法进入系统。
4、下载文件
被感染的userinit.exe会下载并执行h**p://yu.***.net/cert.cer文件。