pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析
1、首先查找系统目录%SystemRoot%\system32下的任务管理器程序taskmgr.exe,有则删除该文件,禁用windows任务管理器;
2、将自身复制到%SystemRoot%\system32目录下,并重命名为windowshelp.exe,设置属性为只读、系统、隐藏;
3、修改注册表启动项,使windowshelp.exe文件实现开机自启动;
4、遍历所有可移动存储设备,将病毒自身复制到所有找到的U盘目录下,并重命名为dirverusb.exe,设置文件属性为只读、系统、隐藏;
5、在所有U盘目录下创建autorun.inf,目标指向dirverusb.exe,使dirverusb.exe随U盘自动运行,并且设置自身属性为只读、系统、隐藏;
6、U盘插到电脑后,病毒利用windows自动播放功能,实现自启动,运行感染电脑跟其它可移动磁盘;
病毒创建文件:
%SystemRoot%\system32\windowshelp.exe
U盘目录:\driverusb.exe
U盘目录:\ autorun.inf
病毒删除文件:
%SystemRoot%\system32\taskmgr.exe
病毒创建注册表:
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
名称:Windows Help
数据:%SystemRoot%\system32\windowshelp.exe
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|