作者:snowlee
最近有用户在论坛上留言说每次运行exe就会生成很多.lnk文件(图1-1),而且进程管理器里面也被满满的.lnk充斥着(图1-2)。毒霸的研发团队对导致此现象的病毒经过详细分析后发现该病毒不仅仅是我们看到的那些行为而已,其实它暗地里做的坏事更为恶劣,完全中毒后会导致用户不能上网看视频,浏览QQ空间没有背景音乐......下面我们就来一起看看病毒是怎样执行的。
图1-1 生成很多lnk文件
图1-2 任务管理器被lnk塞满
其实用户运行的exe已经是被病毒感染后的非正常文件,病毒将正常文件经过加密附在文件尾部,将自己的病毒代码覆盖原来正常文件的位置并执行。病毒执行完病毒自己的代码后会将正常文件恢复并保存在当前目录下并添加.lnk为后缀名。该病毒可以重复感染,每感染一次的exe运行后都会释放一个加lnk的文件,这也是为什么我们会看到很多lnk文件的原因。
病毒会创建本地TCP套接字自实现HTTP从远程计算机下载robots.txt文件到本地的操作。在连接和下载的过程中,病毒会先尝试从指定域名(fishcontv.freeTCP.com)所指示
最近有用户在论坛上留言说每次运行exe就会生成很多.lnk文件(图1-1),而且进程管理器里面也被满满的.lnk充斥着(图1-2)。毒霸的研发团队对导致此现象的病毒经过详细分析后发现该病毒不仅仅是我们看到的那些行为而已,其实它暗地里做的坏事更为恶劣,完全中毒后会导致用户不能上网看视频,浏览QQ空间没有背景音乐......下面我们就来一起看看病毒是怎样执行的。
图1-1 生成很多lnk文件
图1-2 任务管理器被lnk塞满
其实用户运行的exe已经是被病毒感染后的非正常文件,病毒将正常文件经过加密附在文件尾部,将自己的病毒代码覆盖原来正常文件的位置并执行。病毒执行完病毒自己的代码后会将正常文件恢复并保存在当前目录下并添加.lnk为后缀名。该病毒可以重复感染,每感染一次的exe运行后都会释放一个加lnk的文件,这也是为什么我们会看到很多lnk文件的原因。
病毒会创建本地TCP套接字自实现HTTP从远程计算机下载robots.txt文件到本地的操作。在连接和下载的过程中,病毒会先尝试从指定域名(fishcontv.freeTCP.com)所指示
