病毒行为分析初探(五)
我们接着做更深入一点的研究。
从文件对比中,我们看到,病毒在我们C:\WINDOWS文件夹里增加了Other\Fun\dcSVIQ\WinSit几个病毒程序,从病毒的大小和制作时间来看,好像是相同的,只是换了小马甲。显然,病毒是哪儿好塞往哪塞,哪里隐蔽往哪塞。如塞进inf文件夹,就是因为inf文件夹是系统、隐藏特性的文件夹,一般人根本看不到。塞进SYSTEM32中,就是因为里面的文件非常多,好浑水摸鱼啊。搞了这么多,当人们清除他们时,只要一个未除掉,都会使您前功尽弃。(病毒制作者真能折腾)
在多出来的文件中,有一个文件比较有意思,wininit.ini,这是一个配置文件,他是干什么用的呢?打开看看
这回我也长点见识,通过学习知道,他是用来焚尸灭迹用的,即计算机启动后,会按wininit.ini说的去做——删除other.exe文件,wininit.ini再自我删除。本来这个功能是方便软件升级、驱动更新用的,却……
在注册表中,病毒制造者又是改、又是加的,其实目的就是一个,好让前面的病毒程序可以开机就运行。
以上就是对此病毒的一点研究,其实这个病毒能挺有能耐的,如几个病毒进程能够相互保护,还能感染传播。从其启动方式来说,一般般,同时杀毒软件也可以查杀它。高级一点的病毒如ROOKIT病毒,插进(线)程病毒、服务、驱动病毒需要更好的水平及工具去分析了,本文仅仅是做了初步探讨,抛砖引玉。(全文完)
本文转自madin10000 51CTO博客,原文链接:http://blog.51cto.com/20100823/750827
