请问下这是病毒吗?
安天防线2008版查出来的? 本帖最后由 研发组老李 于 2009-6-24 23:25 编辑在 packmanchs.rar 压缩包中,安天防线发现packmanchs.dll文件被感染
Worm/Win32.Otwycal.g病毒
------------------------------------------------------------------------------------
http://www.antiy.com/cn/security/img/20090216.jpg
该病毒属蠕虫类,病毒运行后判断进程列表中是否存在smss.exe进程,若不存在程序退出模块;判断程序是否为%DriveLetter%\MSDOS.bat,若是用资源管理器打开该驱动器后返回;删除文件%Windir%\Tasks\0x01xx8p.exe后,将自身移动到该位置,并更改为该文件名;检测进程中是否有avp.exe进程,如果有,修改系统时间为2004年1月1日9时1分,使卡巴主动防御过期失效,且每4000ms重新设置一次时间;修改当前进程的令牌权限,复制%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.ext;修改%Windir%\Tasks\poolsv.ext,将最后一个节(.rsrc)节名改为.wycao,并在该节尾部写入病毒代码,复制%System32%\spoolsv.exe到%System32%\dllcache\spoolsv.exe,移动%System32%\spoolsv.exe到%Windir%\Tasks\poolsv.brk移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe,移动成功后退出,否则删除文件%System32%\spoolsv.exe;移动修改后的%Windir%\Tasks\poolsv.ext到%System32%\spoolsv.exe。
来自《安天实验室2009年2月9日-2月15日病毒报告》
页:
[1]