Win32.Troj.Reper

病毒名稱

病毒行為

該病毒偽裝成記事本檔案，一旦並運行之後會將自己複製到系統的多個目錄中。該病毒運用了多種常用的方法獲得運行權。並在每個可寫的邏輯磁碟的根目錄生成autorun.inf檔案，每次用戶打開邏輯磁碟的時候病毒就悄悄地自動運行了。病毒每隔2秒左右就將自己載入到註冊表的啟動項，以使每次開機都運行病毒；病毒還修改文本檔案的關聯程式指向自身，這樣用戶每次打開文本檔案的時候病毒又悄悄地運行起來。病毒會關閉Windows任務管理器，註冊表編輯器，進程查看器，命令行視窗程式，進程名字中包含字元"進程"、"任務"、"毒"、"木"、"殺"、"task"、"proc"、"wom"、
"prcview.exe"、"doctor"、"kill"、等等的進程，這將關閉眾多的反病毒軟體，大大降低了中毒機器的安全性能，給其他病毒大開方便之門。病毒還激活guest帳戶，添加一個管理員帳戶，並且刪除默認的管理員帳戶"Administrator"，為黑客攻擊打開後門。
1.病毒檢查當前目錄，如果是根目錄，就創建Explorer進程，打開當前目錄；如果不是根目錄，就創建互斥體nothing，防止多個實例同時運行。
2.將自身複製為以下檔案（路徑是硬編碼的，如過不存在就釋放不成功）：
%SystemRoot%\svchost.exe
%System%\N0TEPAD.EXE
C:\Documents and Settings\All Users\「開始」選單\程式\啟動\login.pif
C:\Documents and Settings\<當前用戶名>\「開始」選單\程式\啟動\login.pif
修改檔案C:\autoexec.bat內容。
並在每個可寫的邏輯磁碟的根目錄生成以下隱藏檔案

reper.exe （該檔案是病毒的副本）
autorun.inf
autorun.inf檔案的內容為：
【autorun】
open=reper.exe
當用戶打開磁碟的時候病毒就自動運行了。
3.修改註冊表。
添加啟動項：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Services"="%SystemRoot%\svchost.exe"
修改文本檔案關聯程式為病毒檔案：
HKCR\txtfile\shell\open\command\
"默認"="%System%\N0TEPAD.EXE %1"
4.創建兩個執行緒，一個時鐘。
1)一個執行緒用來關閉特定的進程：
regedit.exe
cmd.exe
ntvdm.exe
以及進程名中包含任意任意一下字元串的進程：
"task"
"proc"
"進程"
"prcview.exe"
"任務"
"毒"
"wom"
"木馬"
"殺"
"doctor"
"kill"
2)另一個進程用來每2分鐘運行一次C:\autoexec.bat。該檔案被修改以後運行，將激活guest帳戶，添加一個管理員帳戶，並且刪除默認的管理員帳戶"Administrator"。
3)設定時鐘每隔1200毫秒進行一次複製檔案和註冊表修改。