Win32.Tufik.a是一個windows環境下的感染型病毒,被感染的執行檔運行完感染代碼後依然繼續本身的操作,所以該病毒不會產生任何病毒進程,很難被人發現。 基本介紹 中文名:土匪外文名:Win32.Tufik.a威脅級別:★病毒類型:Win32病毒影響系統:Win9x / WinNT 病毒行為:感染代碼還會開啟後門,使系統成為被攻擊的對象。1. 感染代碼首先提高自身許可權,關閉windows的檔案保護機制,然後尋找%SystemRoot%下的系統檔案explorer.exe,檢查檔案最後的4個位元組是否是'BFB\0'。這四個位元組是檔案是否被感染的標誌,病毒正是利用這個標誌判斷是否對檔案進行再次感染。2. 感染完explorer.exe後,感染代碼會開啟遠程執行緒,然後感染代碼運行結束,可執行程式繼續本身的操作。3. 被開啟的遠程執行緒會定時掃描硬碟各個分區,尋找exe檔案繼續進行感染。同時遠程執行緒還具有網路功能,使系統具有後門,成為被攻擊的對象。
