病毒研究
前几天女朋友的电脑中了病毒,从这几天她用电脑的实际情况来看,应该和幻想游戏网有关系。
这个病毒不是很顽固,轻而易举的就被金山杀掉了。病毒名字叫win32.troj.iagent.bd.442368,恰好是金山毒霸27、28号升级病毒库里的病毒之一。不过金山的病毒百科中并没有对病毒的介绍。
病毒发作后,会寻找包括开始菜单、快速启动栏、桌面在内的所有可执行文件的快捷方式,然后在快捷方式指向的可执行文件目录下复制木马程序,并将快捷方式的链接改为指向的木马文件。
通过收集整理,发现木马的文件名有以下几种方式:
1.直接采用内置的一些文件名
czech
audience
existing
performance
customizing
enabling
call
thatcomes
optional
runtime
korean
contain
and
obtained
within
against
novice
topics
click-through
license
2.在原可执行文件名后加_run或者_start
3.在原可执行文件名后随机加26个英文字母中的一个
4.在上述三种命名规则的基础上,可能会随机增加1-2位的数字
病毒在改了快捷方式的指向后,同时会窃取原可执行文件的图标,让人无所防备。
还好这个病毒发现的早,即时被清理掉了。所以没能知道释放的木马运行后有什么效果。就目前来看危害不大,但是很麻烦,还要一个一个的把快捷方式改回来。