Win32.BinLaden

2008-02-23 09:19:54来源：互联网阅读 ()

病毒名称: Win32.BinLaden 类别：蠕虫病毒病毒资料：病毒Win32.BinLaden，通过电子邮件传播，用户会收到一份附件为BINLADEN_BRASIL.EXE的病毒邮件。该病毒会感染Windows 95/98，但windows 2000将认为该附件为非法应用程序。

病毒传播：

1）在系统默认临时文件夹内释放sfc????.exe。

2）在系统目录释放Invictus.DLL（该动态库用于感染，并且使用UPX压缩）。

3）修改system.ini，将Shell=xxxxxx.exe 修改为 Shell=xxxxxx.exe ???.exe，以便每次启动时将病毒启动。

4）修改注册表，共享整个C:。

5）感染可执行文件，尤其是Windows目录下的HH.exe。

病毒特点：

1）感染后的文件入口RVA变为0，因为EXE文件头“MZ”是合法指令，病毒就得以运行。

2）病毒破坏了部分文件头以及Stub程序，因此杀毒后的文件很可能不能再在DOS下运行。

3）该病毒通过搜索ICQ网站来取得邮件地址，使用SMTP协议将带毒邮件发给各个用户（采用匿名方法）。

4）病毒发作时会弹出一个对话框，并用随即字符填充背景。

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2001-11-1

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有