欺骗用户关闭安全软件
2.病毒释放文件至%WindowsDirectory%\A__rd.exe执行,并将需要榜定的文件以及图标释放至c:\msasn1目录下,文件 为:BProtect.Axv,BProtect.exe,mqperf.exe,msidntld#.exe,Set1.Ico文件,并在执行过程中不 断变化图标文件。
3.病毒搜索磁盘中文件,并将需附加部分附加于搜索到的.exe文件前方,以及图标文件组合为新文件。
4.被感染文件被执行时,释放绑定的病毒文件并执行。病毒并不会释放以及执行原文件。
5.病毒捆绑部分为木马程序,伪装为 微软防火墙 程序,病毒中存在如下字符串(这段字串是在病毒执行时弹出的对话框,诱使用户关闭其它杀毒软件):
这个磁盘正受到微软防火墙的保护
如果其它反病毒软件阻止了微软防火墙的运行请关闭其它杀毒软件并
我们建议您只运行微软防火墙
来代替其它反病毒配置以获得更高的兼容性 等...
病毒文件伪装为微软文件,并附带如下版权信息:
备注:Microsoft Firewall Installer 12th Edition
产品版本:1.01.0040
产品名称:Microsoft Firewall Installer
公司:XC Microsoft
合法商标:Microsoft Firewall Installer
内部名称:FirewallN39
源文件名:FirewallN39.exe
以上信息来源于毒霸大百科,原文链接
http://vi.duba.net/virus/pe-vbiconchgs-il-2060299-51806.html
我没有拿到这个样本,也就没有这个病毒运行后对话框的截图了。
网友评论