没有危害的病毒Win32.Initx 常驻被感染进程 |
|---|
|
| www.iselong.com 作者: |
|
2003年05月27日09:18:19
Win32.Initx
没有危害的Win32病毒,常驻被感染进程中,感染后缀名为“.EXE”的Portable executable (PE)文件格式。有两部分组成:写入被感染程序的加载过程,和一个文件名为“initx.dat”的动态连接库(DLL)。
繁殖
病毒在Windows目录,Windows系统目录以及该计算机对网络共享的目录中寻找,并尝试感染后缀名“.EXE”的文件。如果计算机名在任意寄存器中以“CT”开始,那么病毒只感染那些对网络共享目录中的文件。
在感染时,病毒在被感染文件的所在目录中建立自己的拷贝,文件名为“initx.dat”,然后给被感染文件添加28byte长的加载过程,这样,被感染文件运行时就激活了病毒库“initx.dat”。把加载代码写入到原程序代码段的剩余空间,这样,文件的大小不改变。
感染过程图示:
已被感染了的目录 正被感染的目录
--------------------- ---------------------
文件1 文件4
文件2 文件5
… …
被感染的文件.exe 文件牺牲品.exe <---在文件中加
28byte的病毒加载过程
initx.dat --> initx.dat <--- 病毒的主要部分
其他
病毒尝试在网络中找到名字含有“ct”的电脑,并与它连接起来。如果连接成功,病毒在网络中发送被感染电脑的名称。它还把Windows目录的访问权打开,以“ADMIN$”名作为网络共享资源。
|
