Trojan.Billrus.Texto是木馬病毒。該木馬駐留記憶體,檔案的圖示看起來就是一個普通的文本檔案。每個10分鐘,木馬檢測A驅中是否有磁碟存在,如果有磁碟存在,木馬將刪除足夠的檔案以保證能夠將自身拷貝到該軟碟中,同時還有其他的必須檔案。
基本介紹
- 中文名:Trojan.Billrus.Texto
- 病毒名稱:Trojan.Billrus.Texto
- 發現日期:2001/6/29
- 大小:36,864 位元組
運行說明,執行工作,
運行說明
該木馬刪除下列檔案,然後用自身的副本替換它們。
Attrib.exe, Edit.com, Format.com, Deltree.exe, Ed.cab, Mscdex.exe, Appwiz.cpl,
Attrib.com, and Deltree.com.
該木馬能夠更改它的檔案名稱為18個不同名字中的一個:
如 Readme.exe, Gratis.exe, Leeme.exe, Trucos.exe, Texto.exe, Notas.exe, Free.exe,
Aviso.exe, Demo.exe, Software.exe, Shareware.exe, Chistes.exe, Leer.exe, Datos.exe,
Documento.exe, Freeware.exe, Password.exe, or Clave.exe。
第一次運行時,木馬會啟動記事本並顯示木馬作者的EMAIL地址。木馬通過向註冊表中添加一個值,以保證能夠在系統每次啟動後都運行該木馬。當木馬被激活30次後,它將刪除C糟上的所有檔案,並顯示一個標題為Uruguay的訊息框,其中包含文字:Billrus。
執行工作
該木馬用VB編寫,當運行時,會執行下列工作:
屬性設為系統、隱藏和唯讀,這樣就不容易被刪除。
2、將自身拷貝到\Windows\System\Rundii32.exe。
4、添加註冊鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
值:Shell Windows\system\Rundii32.exe
