"%Documents and Settings%\Administrator\Application Data\updates\updates.exe"
"%Documents and Settings%\Administrator\Application Data\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe"
%SystemDriver% 系统所在分区,通常为“C:\”
%SystemRoot% WINDODWS所在目录,通常为“C:\Windows”
%Documents and Settings% 用户文档目录,通常为“C:\Documents and Settings”
%Temp% 临时文件夹,通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”
%ProgramFiles% 系统程序默认安装目录,通常为:“C:\ProgramFiles”作者: pioneer 时间: 2012-5-8 14:06 病毒分析:
1.创建名字为"Ms32Dll"的互斥对象,防止重复感染。
2. 获取APPDATA环境变量的值,一般为"C:\Documents and Settings\Administrator\Application Data\updates"。
将文件"C:\Documents and Settings\Administrator\Application Data\engel\updates.exe"删除。
将目录"C:\Documents and Settings\Administrator\Application Data\engel"删除。
将文件"C:\Documents and Settings\Administrator\Application Data\updates\updates.exe"删除。
将目录"C:\Documents and Settings\Administrator\Application Data\updates"删除。
3. 创建目录"C:\Documents and Settings\Administrator\Application Data\engel",将病毒文件复制为"C:\Documents and Settings\Administrator\Application Data\engel\updates.exe"。
4. 打开注册表键"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run",将键值"engel"修改为"C:\Documents and Settings\Administrator\Application Data\updates\updates.exe",将"engel"目录改名为"updates"。
5. 将病毒文件拷贝并重命名为"C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe"实现开机自启动。
6. 打开"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile"子键,将键值"EnableFirewall"设置为0。添加防火墙过滤规则"netsh advfirewall firewall add rule name="simple" dir=in action=allow program="C:\simple.exe""允许病毒访问网络。
7. 查询并设置键值"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\DHCP",多线程创建套接字,绑定特定端口,监听网络连接。
病毒创建文件:
"%Documents and Settings%gs\Administrator\Application Data\engel\updates.exe"
"%Documents and Settings%\Administrator\Application Data\Microsoft\Windows\Start Menu\Programs\Startup\mousedriver.exe"
病毒删除文件或目录
"%Documents and Settings%\Administrator\Application Data\engel\updates.exe"
"%Documents and Settings%\Administrator\Application Data\engel"
"%Documents and Settings%\Administrator\Application Data\updates\updates.exe"
"%Documents and Settings%\Administrator\Application Data\updates"