警惕还原卡破坏者病毒!
07月 2nd, 2008 -
“还原卡破坏者73728”(Win32.TrojDownloader.Agent.73728),这是一个木马下载者程序。该病毒运行后会修改系统文件、打开本地端口协议端口连接网络,然后下载病毒,并穿透电脑上安装的还原卡,运行病毒。
这个下载器在对抗系统安全模块方面做了许多工作,它能绕开安全模块的监视,非法连接远程服务器,甚至还可以穿透还原卡。
病毒在进入电脑后,释放自己的文件tubv.exe到%WINDOWS%目录中。立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe,同时将正常的原文件复制到%WINDOWS%\system32\目录中。接着就运行起来,打开本地端口协议UDP端口。
然后,病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件,用它们删除病毒的原始文件和那个被修改过的explorer.exe,销毁自己到过电脑的证据。