)间谍感染虫
病毒类型: 蠕虫病毒
-------------- 病毒长度: 24576
本病毒: 所有命名: Win32.Troj.Rayra.a.24576
Win9x,WinMe,Linux
1.复制自身到系统目录下 %SystemRoot%stray.exe 并会创建一个INI文件%SystemRoot%cch.ini记录相关信息 2.更改注册表病毒会在注册表中添加自启动项
行为分析:
这是一个蠕虫病毒的变种。它利用感染系统中的EXE文件来实现传播,侵入系统后会记录电脑配置信息和用户的操作,并将这些数据提供给黑客,便于黑客开展下一步入侵行动。
1.复制自身到系统目录下
%SystemRoot%stray.exe
并会创建一个INI文件%SystemRoot%cch.ini记录相关信息
2.更改注册表
病毒会在注册表中添加自启动项
[SoftwareMicrosoftWindowsCurrentVersionRun]
Stray.exe = %SystemRoot%stray.exe
3.创建新的线程,从D盘向Z盘开始搜索EXE文件并感染,搜索的文件夹的深度为10
4.感染文件之前记录文件的日期信息,感染后恢复其日期信息,从日期信息看不出文件已经被操作
5.并不会对以下文件夹或文件进行感染:
Norton AntiVirus、system32、Klmain.exe、ccregvfy.exe、osa.exe
6.感染文件
病毒对系统中大小为0x0BB8~0x1E848 Bytes的可执行文件进行感染,并对将要感染文件进行校验,判断是否为已感染文件或有效的PE文件,如果已被感染,或不是有效的PE文件,则不进行感染
