概述
病毒行为分析初探(五)
我们接着做更深入一点的研究。
从文件对比中,我们看到,病毒在我们C:WINDOWS文件夹里增加了OtherFundcSVIQWinSit几个病毒程序,从病毒的大小和制作时间来看,好像是相同的,只是换了小马甲。显然,病毒是哪儿好塞往哪塞,哪里隐蔽往哪塞。如塞进inf文件夹,就是因为inf文件夹是系统、隐藏特性的文件夹,一般人根本看不到。塞进SYSTEM32中,就是因为里面的文件非常多,好浑水摸鱼啊。搞了这么多,当人们清除他们时,只要一个未除掉,都会使您前功尽弃。(病毒制作者真能折腾)
在多出来的文件中,有一个文件比较有意思,wininit.ini,这是一个配置文件,他是干什么用的呢?打开看看
这回我也长点见识,通过学习知道,他是用来焚尸灭迹用的,即计算机启动后,会按wininit.ini说的去做——删除other.exe文件,wininit.ini再自我删除。本来这个功能是方便软件升级、驱动更新用的,却……
在注册表中,病毒制造者又是改、又是加的,其实目的就是一个,好让前面的病毒程序可以开机就运行。
以上就是对此病毒的一点研究,其实这个病毒能挺有能耐的,如几个病毒进程能够相互保护,还能感染传播。从其启动方式来说,一般般,同时杀毒软件也可以查杀它。高级一点的病毒如ROOKIT病毒,插进(线)程病毒、服务、驱动病毒需要更好的水平及工具去分析了,本文仅仅是做了初步探讨,抛砖引玉。(全文完)
转载于:https://blog.51cto.com/20100823/750827
最后
以上就是魁梧秋天为你收集整理的病毒行为分析初探(五)的全部内容,希望文章能够帮你解决病毒行为分析初探(五)所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复