Win32.Tufik.b

病毒別名：

處理時間：2005-09-09

威脅級別：★

中文名稱：土匪

病毒類型：Win32病毒

影響系統：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行為:

病毒運行後會首先感染explorer.exe檔案，當被感染的

explorer.exe再次運行時，病毒代碼會創建執行緒，感染從F:至Z:盤的所有EXE文

件，同時病毒執行緒還會監控鍵盤，竊取用戶密碼，病毒執行緒還會連線固定的網址，

下載更新病毒。

1. 病毒體將自身添加在EXE檔案的尾部，並通過修改EXE程式的入口，獲得程式控制權。

病毒代碼還會自行建立API函式導入表。

2. 病毒體為了修改正在執行的EXE檔案，病毒會關閉WINDOWS的檔案保護機制。

3. 病毒代碼遍歷系統進程，通過比較進程ID號，判斷運行的EXE檔案是否是explorer.exe

檔案。如果不是explorer.exe檔案，病毒體會嘗試修改explorer.exe檔案，並在檔案

的末尾標記感染標誌位元組0x00424642；如果運行進程是explorer.exe檔案，病毒體會

開啟執行緒，由於系統啟動後，explorer.exe總是要運行的，所以explorer.exe一旦被

感染，病毒執行緒總是會被開啟的。

4. 被開啟的病毒執行緒會搜尋從F:至Z:盤的所有EXE檔案，並進行感染。

5. 病毒執行緒還會利用系統鉤子，監控用戶的鍵盤操作，並將記錄保存在%SYSTEM%目錄

下AdvKey.dll檔案中。

6. 病毒執行緒還能連線網路，下載更新病毒體。

基本介紹