病毒大百科

此病毒是一个用vc++高级语言编写的黑客木马程序。病毒释放自身驱动文件及dll格式文件，突破杀软的防御措施，然后隐藏在用户机器中，实现远程监视。

1.病毒运行时首先在%temp%目录下释放一个XXXX.dat的配置文件,其中XXXX为随机产生的四位数,
配置文件本身存于病毒体的资源节中,内容如下:
[Config]
Url=http://www.XXXX.com/XXX
Explain=XXXX
Ip=XXX.XXX.XXX.XXX
Ip_Port=XXXX
FileName=XXXXX
ServiceName=XXXXXX
DisplayName=XXXXX
Description=XXXXX
URLDNS=1
Inject=1
其中保存了木马反弹连接网址,版本信息,连接信息,客户端IP,监听端口之类信息,将配置文件的字段内容
读入并保存起来,然后删除该文件.

2.遍历当前进程,找到avp.exe和ravstub.exe,如果这两个进程存在任意一个, 则检索%systemroot%下
是否存在NTboot.exe,Ntboot32BP.sys,Beep.sys,如果存在则全部删除,不存在则释放,
其中NTboot.exe为病毒体自身, .sys为病毒资源节中的文件.

3.注册windows服务实现开机自启动,另外值得一提是的病毒体一开始会将自己的窗口名注册为
"Microsoft Internet Explorer",类名注册为"IEFrame",以混淆用户的判断.

4.释放资源节中的dll文件,修改进程特权标记,将dll代码中一部分注入到svchost.exe中,创建远程线程.

5.病毒运行完毕后,可实现无进程无模块,对于用户手工清除带来很大的困难,此后门程序可以远程监视用户
屏幕键盘等等,并加载驱动试图对杀软防御进行突破,具有较大的危害性.