Win32.MGF.4408

来源：QQread收集作者：出处：巧巧读书 2006-03-02 进入讨论组

病毒分类

WINDOWS下的PE病毒

病毒名称

Win32.MGF.4408 　

别名

病毒长度

依赖系统

传播途径

行为类型

WINDOWS下的PE病毒

感染

病毒发作

一个感染PE文件的病毒，病毒大小4408字节。该病毒为系统打开了一个Ring3到
Ring0的直接后门，使用存在后门的系统不论当前用户级是什么都能对系统进行毁
灭性破坏。

病毒形为：
该病毒从栈里得到kernel32的地址，定位好一些要使用的api后根据当前
系统类型对系统开一个ring0后门。
win9x下：
病毒将直接利用系统对全局描述表的页保护漏洞直接修改为系统增加一个Ring0调用
门。
win2k，winxp：
病毒将把%system32%\miniwdm.sys修改并启动。（病毒将增加一个为Miniwdm服务名
的服务）其中的代码完成和win9x下类似的功能。对系统加一个ring0调用门。

成功后病毒将根据系统类型进行内存感染。
win9x下：
病毒申请一块系统内存并将病毒体分成两部份一部分在kernel32模块的空隙里。另
一部分在申请的内存中。病毒修改KERNEL32的CreateProcessA函数。
win2k，winxp：
病毒将自己复制到user32及kernel32模块的空隙中，并修改CreateProcessW函数。

当系统CreateProcessW(WIN2K,WINXP)或CreateProcessA（win9x）函数被调用时
病毒将伺机对其文件进行感染。

局域网传播：
病毒将遍历网络资源，并尝试联连将%system%unblaster.exe文件复制过去。

病毒的发作：
病毒将在3，6，9，12月的周五，周六，周日发作。。发作时显示一个消息框。

标题：莫国防的技术使者之宣言

内容：
本使者为传播技术而来，已在这里安营扎寨。我无恶意，不必担心！
致我的偶像比尔.盖茨：你的几个傻瓜手下，轻视我的漏洞报告，你该打他们的PP！

备注

http://www.qqread.com/virusdb/m492674207.html 进入讨论组讨论。

【深度阅读】相关文章

【收藏此文】【大中小】【打印】【关闭】

较早的文章：Worm.Agobot.3.aj.enc

较新的文章：Flooder.MailSpam.Avril

Win32.MGF.4408

相关专题

讨论组问题推荐

站内各频道最新更新文档

形形色色的台湾特产

怀念“黛玉”妹妹

站内最新制作专题

阳春三月境内境外赏花忙

运动促前第二次发育

热门关键字导读

站内频道文章精选

新闻资讯

操作系统

桌面开发

数据库

电脑技巧

常用软件

网络程序开发

图像处理

Win32.MGF.4408

相关专题

讨论组问题推荐

站内各频道最新更新文档

形形色色的台湾特产

怀念“黛玉”妹妹

站内最新制作专题

阳春三月 境内境外赏花忙

运动促前第二次发育

热门关键字导读

站内频道文章精选

新闻资讯

操作系统

桌面开发

数据库

电脑技巧

常用软件

网络程序开发

图像处理

阳春三月境内境外赏花忙