病毒名称(中文):
PE远程后门844800
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
844800
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个PE病毒,它会感染Windows下所有的PE格式文件。病毒作者为病毒代码设置了加密,使病毒特征无法定位,试图以此阻止安全软件对它进行查杀。当它感染完文件后,就会释放出木马文件并执行,在用户电脑上制造后门,便于黑客入侵。
1.被感染后的文件入口地址被改到最后一个节表的病毒代码处执行,要害病毒代码被简单的异或加密,
前面一段代码是解密后面的加密指令
2.被感染后的文件的引入表被破坏,病毒执行时会修复回引入表的正确地址,以保证病毒体先执行完后
文件可以正常运行起来
3.被感染文件会在用户的临时目录下释放一个文件~ZY7.tmp的木马文件,并执行,木马文件为远程控制后门