RemoteExplorer病毒最突出的特征是不需要用户的介 入(如使用软盘、email等), 它本身就能移动、传输和 复制。它有下列特征:
1、 它是能在NT服务器或NT工作站上传播的第一种病毒程序。该病毒通过对目标可执行文件进行压缩而传播。
2、它在NT系统中的NT驱动程序目录(NTD river dir ectory)中建立一份自身的副本,从而实现在此系统中的安装,并且能够自行调用IE403R.SYS。 它还用“Remote Explorer”的名字作为一个服务进行安装。它还带有支持其感染和加密操作的DLL文件。
3、通过初步分析, 我们知道RemoteExplorer病毒利 用窃取域管理员(domainadministrator) 的安全特权以 进行扩散, 因为窃取到此特权后即可向其它Windows系统 传输其病毒文件。一旦进入系统,它就可以感染文件进行 压缩而且随机地加入加密的数据。
4、WindowsNT是此病毒进行扩散的主要基地。其他的 Windows操作系统可以容纳受此病毒感染的文件, 但是不 能支持它继续扩散。
5、它能够感染任何EXE文件,并利用一个压缩程序( a.k.a.GZIP,这是一个UNIX程序)使得该文件失效。
6、它对于TXT和HTML格式等数据文件使用一种加密算法。它随机地选择一个目录,对于符合其设定原则的文件进行感染,对于不能感染的文件则进行加密。
7、它是一个125K字节长的文件感染型病毒程序, 大 约有50,000行代码。这是一个极大的复杂的病毒程序。
8、它是用C语言写成的。初步估计,一个人编写此病 毒需要花200个小时以上, 而且他还需要有其他人的协助 ,给他提供有关的知识和附加的预编译过的代码。
9、它是常驻在内存的。 因此,受其感染的系统必须 关闭电源, 然后在一个“清洁状态”下用NAI公司的命令行病毒扫描程序进行扫描。现在查出此病毒没问题,但清 除它还做不到。
10、它还带有一个DLL文件, 用以支持其感染过程, 如果删除此DLL,它还会产生另一份副本。 此病毒还有一 个时间程序, 其目的是设定在每星期六的下午3点到星期日的上午6点这段时间内,加速搜索和感染过程。 此病毒 不增加系统的负荷
时间:Jan 6, 2015 10:23:00 AM
录入者:张文湃