主页

Win32.Gdata.a.4096

病毒名称(中文):
感染型下载器4096
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马下载器
病毒长度:
4096
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个下载器程序。它利用感染EXE文件的方式来进行传播,运行后就下载其它病毒文件到用户系统中。

1, 被感染文件,正常文件新增加了一个节表,新增节表名为.gdata,文件体积增大,入口被改到最后一个节表执行;
2, 遍历当前进程,找到explorer.exe,注入病毒指令创建远程线程在explorer进程空间执行;
3, 被注入指令的explorer会异或解密一段字符,最后获得下载地址http://61.1*1.*7.71/5555555.exe,并下载%SystemRoot%\Temp.exe执行.




特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。