病毒名称(中文):
感染型下载器4096
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
4096
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是个具有感染能力的下载器程序。它会巧妙地插入病毒指令到正常的EXE文件中,而被感染的文件大小不变。当运行起来后就注入代码到系统桌面进程中执行,远程下载其它病毒文件到用户电脑上。
1,被感染文件,被感染的文件大小不变,病毒找到节表空闲处插入代码,改入口地址到新插入的病毒指令处;
2,文件运行时优先执行病毒的指令,遍历当前进程,找到explorer.exe是否存在,假如存在,注入病毒指令并创建远程线程在explorer进程空间执行;
3,假如注入指令成功,explorer会执行异或解密一段字符,获得下载地址http://61.1**.5*.71/5555555.exe,并下载%SystemRoot%\Temp.exe执行.
