简介

病毒源文件流程

简介

马吉斯”又名为Magistr.24876、W32／Magistr＠MM、PE＿MAG?ISTR.A、W32.Magistr.24876，I-Worm.Magistr，能够感染WIN95／98／ME系统，并且具有既是病毒又具有蠕虫的特性，与以往众多的病毒通过邮件方式传播有所不同，“马吉斯”除了以电子邮件附件形式传播，还可以以复制文件形式传播。病毒会自动搜索Outlook和Netscape邮箱中的地址簿，并将所有地址保存在Windows目录下Username.Dat文件中，其中Username是机器名。安全专家同时指出，“马吉斯”首先爆发在欧洲，我国用户尚有一定的时间做好预防工作，但由于其具有利用电子邮件自动寄出的特性，不可掉以轻心。对付“马吉斯”可使用Kill杀毒软件。（

病毒源文件流程

DLL流程:

DLL被装载时：

1、获得系统sfc.dll中的SfcIsFileProtected函数地址，以便在感染时调用以防止感染受系统保护的文件。

2、获取系统的linkinfo.dll(%system32%目录下)的下列导出函数，使自己导出的同名函数指向正常的linkinfo.dll中正确的函数，以便转接这些函数。

ResolveLinkInfoW

ResolveLinkInfoA

IsValidLinkInfo

GetLinkInfoData

GetCanonicalPathInfoW

GetCanonicalPathInfoA

DisconnectLinkInfo

DestroyLinkInfo

CreateLinkInfoW

CreateLinkInfoA

CompareLinkInfoVolumes

CompareLinkInfoReferents

3、检查自己是否在explorer.exe进程中，如不是则启动病毒主线程。

4、启动病毒主线程

病毒首先通过VMWare后门指令检查是否是在VMWare下运行，如果是直接重启机器，以此来防止自己在虚拟机中被运行。

生成名称为"PNP#DMUTEX#1#DL5"的互斥量，以保证只有一个实例在运行。

然后开始启动各工作线程

5、工作线程1(生成窗口和消息循环)

生成隐藏的窗口和消息循环，并通过调用RegisterDeviceNotificationA注册设备通知消息，当发现插入可移动磁盘时，向可移动磁盘写入病毒源boot.exe。

6、工作线程2(遍历并感染所有磁盘)

从"C:\\"开始感染所有磁盘中后缀名为"exe"的文件。

病毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，并通过调用SfcIsFileProtected来检查是否为系统文件，如是则不感染。

同时，病毒不感染以下程序：

wooolcfg.exe

woool.exe

ztconfig.exe

patchupdate.exe

trojankiller.exe

xy2player.exe

flyff.exe

xy2.exe

大话西游.exe

au_unins_web.exe

cabal.exe

cabalmain9x.exe

cabalmain.exe

meteor.exe

patcher.exe

mjonline.exe

config.exe

zuonline.exe

userpic.exe

main.exe

dk2.exe

autoupdate.exe

dbfsupdate.exe

asktao.exe

sealspeed.exe

xlqy2.exe

game.exe

wb-service.exe

nbt-dragonraja2006.exe

dragonraja.exe

mhclient-connect.exe

hs.exe

mts.exe

gc.exe

zfs.exe

neuz.exe

maplestory.exe

nsstarter.exe

nmcosrv.exe

ca.exe

nmservice.exe

kartrider.exe

audition.exe

zhengtu.exe