1.此病毒運(yùn)行后啟動(dòng)進(jìn)程update.exe����,釋放其本身及動(dòng)態(tài)庫文件到系統(tǒng)路徑下并將屬性設(shè)置為隱藏:
C:WINDOWSsystem32wuauclt1.exe
C:WINDOWSsystem32dllcachewuauclt.exe
C:WINDOWSsystem32w1ninet.dll
C:DOCUME~1ADMINI~1LOCALS~1TempRar$EX01.859update.EXE
2.修改注冊表導(dǎo)致無法顯示隱藏文件��,從而達(dá)到隱藏本身的目的:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL "CheckedValue" = 0x00000002
3.在各個(gè)磁盤根目錄下復(fù)制自身及autorun.inf�,用戶每次雙擊打開磁盤,都會(huì)調(diào)用aoturun.inf運(yùn)行病毒���,同時(shí)復(fù)制病毒自身到U盤����,達(dá)到通過U盤傳播的目的����;
4.然后將病毒文件寫入啟動(dòng)項(xiàng)(這是一般病毒的常用技倆,用戶機(jī)器每次啟動(dòng)時(shí)�����,病毒都會(huì)隨機(jī)啟動(dòng)):
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun “test”=C:WINDOWSsystem32wuauclt1.exe
5.此病毒將系統(tǒng)時(shí)間調(diào)整為四年前���,導(dǎo)致很多殺毒軟件的許可文件失效����,無法實(shí)現(xiàn)掃描功能,因此要遏制此病毒的爆發(fā)還是要依賴于殺毒軟件的監(jiān)控能力���。
大蜘蛛監(jiān)控程序在病毒運(yùn)行的第一時(shí)間將其攔截�����,阻止其運(yùn)行��。如下圖:
