Win32.Tufik.b是一個首先感染explorer.exe檔案,其次監控鍵盤並上傳指定網址進而感染計算機的感染型病毒。
基本介紹
- 中文名:土匪
- 外文名:Win32.Tufik.b
- 處理時間:2005-09-09
- 威脅級別:★
病毒別名:
處理時間:2005-09-09
威脅級別:★
中文名稱:土匪
病毒類型:Win32病毒
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為:
病毒運行後會首先感染explorer.exe檔案,當被感染的
explorer.exe再次運行時,病毒代碼會創建執行緒,感染從F:至Z:盤的所有EXE文
件,同時病毒執行緒還會監控鍵盤,竊取用戶密碼,病毒執行緒還會連線固定的網址,
下載更新病毒。
1. 病毒體將自身添加在EXE檔案的尾部,並通過修改EXE程式的入口,獲得程式控制權。
病毒代碼還會自行建立API函式導入表。
2. 病毒體為了修改正在執行的EXE檔案,病毒會關閉WINDOWS的檔案保護機制。
3. 病毒代碼遍歷系統進程,通過比較進程ID號,判斷運行的EXE檔案是否是explorer.exe
檔案。如果不是explorer.exe檔案,病毒體會嘗試修改explorer.exe檔案,並在檔案
的末尾標記感染標誌位元組0x00424642;如果運行進程是explorer.exe檔案,病毒體會
開啟執行緒,由於系統啟動後,explorer.exe總是要運行的,所以explorer.exe一旦被
感染,病毒執行緒總是會被開啟的。
4. 被開啟的病毒執行緒會搜尋從F:至Z:盤的所有EXE檔案,並進行感染。
下AdvKey.dll檔案中。
6. 病毒執行緒還能連線網路,下載更新病毒體。