该病毒是通过电子邮件传播的,用户会收到一份附件为BINLADEN_BRASIL.EXE的病毒邮件。该病毒会感染Windows 95/98,但Windows 2000将认为该附件为非法应用程序
病毒传播时:
("?"表示不定)
1. 在系统默认临时文件夹内释放sfc????.exe
2. 在系统目录释放Invictus.DLL(该动态库用于感染,并且使用UPX压缩)
3. 修改system.ini,将Shell=xxxxxx.exe 修改为 Shell=xxxxxxx.exe ???,以便每次启动时将病毒启动
4. 修改注册表,共享整个C:
5. 感染可执行文件,尤其是Windows目录下的HH.exe。
第一种感染方式:
该病毒的特点是感染后的文件入口RVA变为0,因为EXE文件头"MZ"是合法指令,病毒就得以运行了。病毒破坏了部分文件头以及Stub程序,因此杀毒后的文件很可能不能再在DOS下运行了。
第二种感染方式比较复杂:
感染时,病毒首先查询文件长度,如果小于24K或者(文件长度-7)/101能整除,就不进行感染。否则,随即寻找被感染对象代码中一个函数的入口,将前三条指令改写为调用病毒入口。病毒入口被置于最后一个节后面。
病毒入口是一个复杂的运算体(用于解密病毒体),运算结果就是真正的病毒体,并且存入堆栈。随后,跳入解密后的病毒(在堆栈内),释放Invictus.DLL。Invictus.DLL就是病毒感染使用的动态库。
该病毒通过搜索ICQ网站来取得邮件地址,使用SMTP协议将带毒邮件发给各个用户(采用匿名方法)。
病毒发作时会弹出一个对话框,内有侮辱性文字,并用随即字符填充背景。
Bush, you need more hashish in your life
Why to take the Amazon from brazil, if you like pollution ?
Brazilian ppl wants the USA destruction, not likeour
president, smelling Bush's balls
You are not the cops of the world, and World Trade Center was the first
Now you take the freedom from your own people, and the world is laughing...
Ohhhh is this the famous American Way of Life ? HAHAHAHA !!!
BUGS EVERYWHERE
You kill more people per day than AIDS, giving money and arms to other countries
Now you are feeling the taste of your own poison...
Ohhhhh I am sorry... It isn't sweet ?
|
|
【深 度 阅 读】 相 关 文 章
