病毒别名：

处理时间：

威胁级别：★

中文名称：土匪

病毒类型：Win32病毒

影响系统：Win9x / WinNT

病毒行为:

这是一个windows环境下的感染型病毒，被感染的可执行文件运行完

感染代码后依然继续本身的操作，所以该病毒不会产生任何病毒进程，

很难被人发现。感染代码还会开启后门，使系统成为被攻击的对象。

1. 感染代码首先提高自身权限，关闭windows的文件保护机制，然后寻找%SystemRoot%下的

系统文件explorer.exe，检查文件最后的4个字节是否是'BFB\\0'。这四个字节是文件是否

被感染的标志，病毒正是利用这个标志判断是否对文件进行再次感染。

2. 感染完explorer.exe后，感染代码会开启远程线程，然后感染代码运行结束，可执行程序

继续本身的操作。

3. 被开启的远程线程会定时扫描硬盘各个分区，寻找exe文件继续进行感染。同时远程线程还

具有网络功能，使系统具有后门，成为被攻击的对象。