恶性的木马病毒,采用Delphi编写。
一旦执行,将执行如下操作:
1.病毒搜索系统,覆盖以下文件,文件名不变,文件内容替换为病毒体:
regedit.exe ---注册表编辑器
scanregw.exe ---注册表扫描工具
notepad.exe ---记事本
winipcfg.exe ---系统配置工具
同时病毒复制自己到window目录下:
%WINDIR%\server.exe
2.病毒添加如下值:
"sever"="%WINDIR%\server.exe"
到:
HKLM\Software\Microsoft\Windows\Currentversion\run 下
以及:
"sever"="%WINDIR%\server.exe"
到:
HKLM\Software\Microsoft\Windows\Currentversion\runonceex下
这样病毒就可以随系统自启动
病毒还修改文本文件的关联,相应注册表键值为:
HKCR\software\classes\txtfile\shell\open\command
@="%SYSDIR%\server.exe"
结果是当用户打开任何文本文件时<扩展名为.txt>首先执行病毒。
3.病毒将打开一个后门,监听TCP端口2022,与其客户端连接后,将可以执行如下操作:
截屏
重启
开关光驱
等等
4.病毒搜索系统,根据系统的目录名在系统中大量复制自身,制造大量垃圾。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2004-2-20
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
