|
|
“桌面潜伏下载者95744”(Win32.RiskWare.AgentT.n.95744) 威胁级别:★
与大部分在AV终结者之后诞生的下载器一样,毒霸反病毒工程师此次捕获的这个病毒下载器也具有一定的对抗安全软件能力。它进入系统后,立即检测进程列表是否存在“贝壳磁盘保护系统”的进程BKPCLIENT.EXE和MENU.EXE,若有则将它们强行结束。
接着,病毒复制%WINDOWS%目录下的系统桌面进程文件explorer.exe到%WINDOWS%\System32\目录下,并往原始的explorer.exe里写入自己的病毒代码,再将其复制到%WINDOWS%目录下,更名为svchost.exe。
完成以上步骤后,病毒就启动这个svchost.exe文件,利用它来调用正常的explorer.exe,实现隐蔽的运行。如果成功运行起来,它就能够连接病毒作者指定的地址,下载病毒文件列表,再根据列表里的地址去下载更多其它病毒文件运行,引发更大的破坏。
同时,该病毒具有自我更新和自我删除的功能,它会自动下载更新配置文件,并在运行完成后删除自己的原始文件,以免用户发现电脑中出现多余的东西。 |
|
