Win32.Hidrag病毒是一個PE感染型病毒。感染本機固定磁碟上的所有PE檔案,並加密原檔案的資源節,由於該病毒技術上的一些原因,導致被感染後的檔案不能正常運行。
基本介紹
- 外文名:Win32.Hidrag
- 類別:病毒
- 威脅級別:二星
- 類型:Win32病毒
- 影響系統:Win9x / WinNT
病毒行為:
1.判斷檔案偏移0x610處是否為“Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/”
該字元串被加密,原字元串應為“Hidden Dragon virus. Born in a tropical swamp.”
如是則已被感染病毒。
2.創建一個名為“GlobalPowerManagerMutant”的互斥量
3.把檔案屬性設為系統、隱藏
4.複製自身到臨時資料夾並運行。
5.複製自身到%SystemRoot%\svchost.exe並運行
6.把當前進程註冊為服務
7.向註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
添加PowerManager=%SystemRoot%svchost.exe
8.向系統註冊一個服務
ServiceName=PowerManager
DisplayName=PowerManager
StartType=SERVICE_AUTO_START
ImagePathName=%SystemRoot%\svchost
說明=Manages the power save features of the computer.
9.加密原檔案的資源節
