馬吉斯病毒

馬吉斯”又名為Magistr.24876、W32/Magistr@MM、PE_MAG?ISTR.A、W32.Magistr.24876，I-Worm.Magistr，能夠感染WIN95/98/ME系統，並且具有既是病毒又具有蠕蟲的特性，與以往眾多的病毒通過郵件方式傳播有所不同，“馬吉斯”除了以電子郵件附屬檔案形式傳播，還可以以複製檔案形式傳播。病毒會自動搜尋Outlook和Netscape信箱中的地址簿，並將所有地址保存在Windows目錄下Username.Dat檔案中，其中Username是機器名。安全專家同時指出，“馬吉斯”首先爆發在歐洲，我國用戶尚有一定的時間做好預防工作，但由於其具有利用電子郵件自動寄出的特性，不可掉以輕心。對付“馬吉斯”可使用Kill防毒軟體。（

DLL流程:

DLL被裝載時：

1、獲得系統sfc.dll中的SfcIsFileProtected函式地址，以便在感染時調用以防止感染受系統保護的檔案。

2、獲取系統的linkinfo.dll(%system32%目錄下)的下列導出函式，使自己導出的同名函式指向正常的linkinfo.dll中正確的函式，以便轉接這些函式。

ResolveLinkInfoW

ResolveLinkInfoA

IsValidLinkInfo

GetLinkInfoData

GetCanonicalPathInfoW

GetCanonicalPathInfoA

DisconnectLinkInfo

DestroyLinkInfo

CreateLinkInfoW

CreateLinkInfoA

CompareLinkInfoVolumes

CompareLinkInfoReferents

3、檢查自己是否在explorer.exe進程中，如不是則啟動病毒主執行緒。

4、啟動病毒主執行緒

病毒首先通過VMWare後門指令檢查是否是在VMWare下運行，如果是直接重啟機器，以此來防止自己在虛擬機中被運行。

生成名稱為"PNP#DMUTEX#1#DL5"的互斥量，以保證只有一個實例在運行。

然後開始啟動各工作執行緒

5、工作執行緒1(生成視窗和訊息循環)

生成隱藏的視窗和訊息循環，並通過調用RegisterDeviceNotificationA註冊設備通知訊息，當發現插入可移動磁碟時，向可移動磁碟寫入病毒源boot.exe。

6、工作執行緒2(遍歷並感染所有磁碟)

從"C:\"開始感染所有磁碟中後綴名為"exe"的檔案。

病毒在感染時，不感染"QQ"、"winnt"和"windows"目錄下的程式檔案，並通過調用SfcIsFileProtected來檢查是否為系統檔案，如是則不感染。

同時，病毒不感染以下程式：

wooolcfg.exe

woool.exe

ztconfig.exe

patchupdate.exe

trojankiller.exe

xy2player.exe

flyff.exe

xy2.exe

大話西遊.exe

au_unins_web.exe

cabal.exe

cabalmain9x.exe

cabalmain.exe

meteor.exe

patcher.exe

mjonline.exe

zuonline.exe

userpic.exe

dk2.exe

autoupdate.exe

dbfsupdate.exe

asktao.exe

sealspeed.exe

xlqy2.exe

game.exe

wb-service.exe

nbt-dragonraja2006.exe

dragonraja.exe

mhclient-connect.exe

hs.exe

mts.exe

gc.exe

zfs.exe

neuz.exe

maplestory.exe

nsstarter.exe

nmcosrv.exe

ca.exe

nmservice.exe

audition.exe

zhengtu.exe