概要
病毒別名:處理時間:
威脅級別:★★
中文名稱:傳奇SOS
病毒類型:木馬
影響系統:Win9x/Win2000/WinXP
病毒行為:
編寫工具:
DELPHI編寫
傳染條件:
被欺騙安裝,木馬可捆綁可執行PE檔案來進行感染傳播
發作條件:
系統修改:
A、自我複製到系統安裝目錄:
%WinDir%SOS.exe
%WinDir%SOS.sys 檔案設為隱含屬性,該檔案是木馬用於捆綁執行檔時的臨時檔案
B、在木馬運行的位置生成同名複本,後綴改為.sys,如:木馬第一次運行的位置是C:Mplayer.exe,那么再運行後會生成病毒複本C:Mplayer.sys,且設為隱藏屬性。該檔案是木馬用於捆綁執行檔時的臨時檔案
C、添加以下鍵值
"SOS" = "%WinDir%SOS.exe"
到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
以便病毒可隨機自啟動
發作現象:
A、木馬盜取傳奇遊戲的帳號和密碼傳送給安裝者指定的信箱,或是指定的QQ號碼;
B、木馬搜尋硬碟中的可執行PE檔案,將木馬捆綁在檔案的頭部,更好的隱藏自己,獲得更多的運行機會。
