病毒名称(中文):
病毒别名:
威胁级别:★☆☆☆☆
病毒类型:黑客程序
病毒长度:38545
影响系统:Win9x\WinMe\WinNT\Win2000\WinXP\Win2003
病毒行为:
这是一个后门病毒,病毒会记录用户的键盘操作,同时开启网络端口,随时等待远程指令的控制。
1.病毒体运行后,通过检查自身路径是否在%WinDir%目录下,判断是否是首次运行。
如果是首次运行,病毒体将自身拷贝为两个备份expl0rer.exe和sp00lsv.exe到%WinDir%目录下,然后开启这两个进程,并将自身删除。
2.expl0rer.exe进程和sp00lsv.exe进程相互监控、互相开启,形成“互锁”,普通方法很难结束病毒进程。
3.病毒获取中毒计算机的相关信息,保存在%WinDir%目录下的win32log.dat文件中,并进行了加密。
4.病毒还会记录用户的键盘操作、以及相关的进程、窗口信息。这些信息被记录在%WinDir%下的“日志文件”中,日志文件采用如下的命名方式:
"WeekDay_Month_Day_Year_.txt"
5.病毒还会修改注册表,添加启动项,以实现开机自启:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft"="expl0rer.exe"
6.此外,该后门病毒还就有文件操作、创建服务、盗取密码等功能,通过开启网络端口,病毒体随时等待远程指令的控制。
时间: 2024-09-17 03:35:29