病毒预警:“黑客学徒”关闭安全软件、感染exe文件
06月 28th, 2008 -
这是一个黑客木马程序的变种,它参考了维金病毒的一些技术,试图对中毒电脑实行远程控制。
病毒运行时将自身文件suchost.exe拷贝至%WINDOWS%\SYSTEM32\Drivers\目录下,通过修改注册表中的相关数据,将其设置为隐藏文件,避免被用户发现。同时,把它添加到注册表的启动项中,实现开机自启动。
病毒接下来会启动感染线程。感染时,它将正常文件附加在自己文件的末尾,这样当用户运行正常文件时,它就能抢先运行起来,然后再释放出原始文件并执行。因为这个过程只不过是一瞬间的事,用户不会察觉。不过,有一个特征值得留意,就是该毒会在它到过的每个文件夹内创建文件Desktop_.ini,内容为当天日期。
完成以上工作,病毒就会尝试删除卡巴斯基、麦咖啡、赛门铁克、金山毒霸、NOD32、SSM、SREng、Network Associates、冰刃等安全软件服务进程。当失去安全软件的监控,病毒就可以自由地连接病毒作者指定的远程地址http://www.d_**g**.com/ ,下载最新的更新文件,并等待病毒作者(黑客)的指令,帮助黑客控制中毒电脑。