病毒行为分析初探(五)-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

病毒行为分析初探(五)

简介:

病毒行为分析初探(五)
我们接着做更深入一点的研究。
 

 

 

从文件对比中,我们看到,病毒在我们C:\WINDOWS文件夹里增加了Other\Fun\dcSVIQ\WinSit几个病毒程序,从病毒的大小和制作时间来看,好像是相同的,只是换了小马甲。显然,病毒是哪儿好塞往哪塞,哪里隐蔽往哪塞。如塞进inf文件夹,就是因为inf文件夹是系统、隐藏特性的文件夹,一般人根本看不到。塞进SYSTEM32中,就是因为里面的文件非常多,好浑水摸鱼啊。搞了这么多,当人们清除他们时,只要一个未除掉,都会使您前功尽弃。(病毒制作者真能折腾)
在多出来的文件中,有一个文件比较有意思,wininit.ini,这是一个配置文件,他是干什么用的呢?打开看看

 
这回我也长点见识,通过学习知道,他是用来焚尸灭迹用的,即计算机启动后,会按wininit.ini说的去做——删除other.exe文件,wininit.ini再自我删除。本来这个功能是方便软件升级、驱动更新用的,却……
 
 
在注册表中,病毒制造者又是改、又是加的,其实目的就是一个,好让前面的病毒程序可以开机就运行。
以上就是对此病毒的一点研究,其实这个病毒能挺有能耐的,如几个病毒进程能够相互保护,还能感染传播。从其启动方式来说,一般般,同时杀毒软件也可以查杀它。高级一点的病毒如ROOKIT病毒,插进(线)程病毒、服务、驱动病毒需要更好的水平及工具去分析了,本文仅仅是做了初步探讨,抛砖引玉。(全文完)
 
 
 

本文转自madin10000 51CTO博客,原文链接:http://blog.51cto.com/20100823/750827

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章
最新文章
相关文章