Win32.Bube.b是一個感染型病毒的病毒原體,它會感染explorer.exe檔案,被感染的explorer.exe,在每次運行時會開啟一個後門執行緒,隨時等待遠程終端的控制。
基本介紹
- 中文名:Win32.Bube.b
- 影響系統:Win9x / WinNT
- 病毒類型:Win32病毒
- 威脅級別:★★
病毒行為
1. 創建名為"BeavisMutex"的互斥體,保證只有一個病毒體在運行。
2. 將自身拷貝到%system%目錄下,並添加註冊表啟動項,以實現開機自啟:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"Web Service" = "%system%\病毒檔案名稱"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"Web Service" = "%system%\病毒檔案名稱"
不但如此,病毒又改頭換面,將自身再次複製到%system%目錄下,命名為
soft.exe,而且也添加了註冊表啟動項:
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%system%\soft.exe"
然後病毒體由添加了另一個註冊表項:
[HKLM\Software\Microsoft\Active Setup\Installed Components\]
"StubPath" = "%system%\soft.exe"
3. 修改註冊表,關閉系統備份功能,然後對
%WinDir%\
%System%\dllcache\
%WinDir%\ServicePackFiles\
資料夾中的explorer.exe進行感染,同時還在%WinDir%目錄下存放一個感染備份檔案explorere.new。
病毒還會在被感染的explorer.exe檔案的末尾留下8個位元組的感染標記:
0xFF 0xFF 0xFF 0xD0 0xC9 0xC2 0x08 0x00
病毒在%WinDir%目錄下創建了名為wininit.ini的配置檔案,內容如下:
[rename]
%Windir%\explorer.exe=%Windir%\explorer.new
被感染的explorer.exe在運行時,系統會彈出下面的提示:
4. 病毒體還會收集系統的版本信息,並從下面這個網址
http://ad*****ash.***
下載其它可能的病毒檔案。
5. 被感染的explore.exe會開啟一個病毒執行緒,每15分鐘運行一次,
修改與系統安全相關的註冊表項,並從上面的網址下載commands.ini
檔案。
