病毒大百科

这是一个插入IE进程的后门,它开放一个后门供黑客连接受感染机之用,
黑客也可以通过此后门得知用户的一系列个人资料.

1:拷贝文件
病毒被运行后,会把自己拷贝到Windows目录下,详细目录如下:
c:\Windows\svcr.exe
并添加了隐藏,只读与系统三种文件属性.

2:更改注册表
病毒会更改以下两处注册表的值,使病毒能随Windows启动.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
system -> c:\windows\svcr.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
system -> c:\windows\svcr.exe

3:自删除
完成拷贝与更改注册表后,病毒会调用命令行删除自己.

4:注入IE进程并开放后门
病毒枚举系统中的进程表,一但发现IEXPLORE.EXE进程,则把自己插入该进程中,
若没有发现,就新建一个,然后再插入运行.使病毒没有生成新的进程,使用户难以察觉病毒的存在.
在IEXPLORE.EXE进程空间里面的病毒则开放一个黑客指定的端口,供黑客连接受感染机之用,
使用户的机器受到黑客的控制,黑客也可以通过些后门得知用户的一系列个人资料.