病毒名称(中文):
远程木马97280
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
97280
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这个病毒是个远程后门程序。它利用感染其它文件来实现传播,进入用户电脑系统后就连接危险的远程网址,等待黑客命令。
1,文件正常的入口指令被替换,经过一些变形和垃圾指令的跳转及两层的解密才到执行真正有危害的病毒代码;
2,释放压缩文件%systemroot%\system32\an438864.dl_,解压创建%systemroot%\system32\an438864.dll文件,加载刚刚释放的dll文件;
3,释放的dll会启动一个时钟中断,平均1s判定一次,做如下操作,system.ini写入如下新增节
[MCIDRV_VER]
DEVICEN1=[RANDOM_NUMBER]
增加全局文件钩子监视全局消息,释放文件%systemroot%\system32\drivers\hjrhjo.sys等;
4,试图偷偷连接多个有危险的网址.