神马品牌网激战2剧毒孢子皮肤:win95/Dupator.1503是什么病毒
来源:百度文库 编辑:神马品牌网 时间:2024/04/29 02:00:29
冰河木马win95/dupator.1503
Win95.Dupator是一种内存驻留型病毒。它感染Win32 PE EXE文件,以及Windows系统文件KERNEL32.DLL。
感染文件时,病毒会把自己的代码写在文件的最后。由此病毒可以修改程序的启动地址以及引出表(Export table)。文件被添加的部分被命名为"DUPATOR!",需要手工检测才能发现。
当一个已被感染的程序运行时,病毒会感染并控制KERNEL32.DLL文件。为此病毒会将KERNEL32.DLL文件从系统Windows目录拷贝到Windows目录,并感染这个副本:
WINDOWS\SYSTEM\Kernel32.Dll -> WINDOWS\Kernel32.Dll
WINNT\SYSTEM32\Kernel32.Dll -> WINNT\Kernel32.Dll
当病毒修改KERNEL32.DLL的引出表之后,GetFileAttributesA函数将指向KERNEL32.DLL文件中所添加的病毒代码。随后病毒将控制权交还给主程序,并且不在发作。
之后,只有当KERNEL32.DLL被驻留在内存中(Windows下次启动时),病毒才会再次被激活。而病毒也会作为KERNEL32.DLL的一部分驻留在内存中,感染其他应用程序。
这种病毒不会感染Windows NT和2000的操作系统
杀毒方法参考http://www.i0735.com/2005/5-28/02261644933.htm
http://post.baidu.com/f?kz=51591880