病毒使用Delphi编写,并且使用UPX加壳,病毒运行后有以下行为
步骤/方法
1
将自己复制到%WINDIR%目录下,文件名为'exxplorer.exe'。
2
修改以下注册表键值以达到其自启动的目的: HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run 增加数据项:'exxplorer'??? 数据值为:'%WINDIR%\EXXPLORER.EXE' HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\RunServices 增加数据项:'exxplorer'??? 数据值为:'%WINDIR%\EXXPLORER.EXE' HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 修改数据项:'Shell'??????? 修改后的数据值为:'Explorer.exe %WINDIR%\EXXPLORER.EXE'
3
修改系统文件'SYSTEM.INI'以下数据项,以达到其自启动的目的。
4
搜索当前系统是否有名为'exxplorer'的窗体,如果有,病毒则退出。病毒通过这种方式来确保系统中只有一个病毒文件在运行。
5
结束某些反病毒软件的进程。
6
记录本地计算机的系统信息以及游戏'传奇世界'的帐号、密码、服务器地址、所属区域等信息,并写入注册表'HKEY_CLASSES_ROOT\woool'键下。
7
将窃取的信息发送到指定的邮箱内。
注意事项
使用专杀工具查杀,在内存扫描完成后,升级到最新版本全盘查杀。
上一篇:如何进行病毒性疾病诊断?
下一篇:qcat病毒分析