此类病毒样本是被病毒感染的EXE文件(感染源是执行全盘感染的操作),被感染的文件不具备全盘感染的能力,但有联网下载其他木马的功能。
1.病毒样本被病毒感染源写入病毒代码,并修改入口指向病毒代码。
2.病毒将自己所需字符串拆散,当需要使用的时候在拼回去使用,此方法是为了躲避安全软件的特征码自动匹配入库流程。
3.病毒新分配一块内存用于执行病毒代码,这块代码创建一个新线程用于下载木马。
4.新线程联网下载木马到本地临时文件夹C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp\\~198.exe并执行。
5.执行完病毒代码后,病毒会恢复正常程序的入口代码,重新回到入口点去执行程序,由于正常程序代码已经恢复,所以这次运行的是正常程序。
1.尽量不要去不正规的下载站下载文件,对下载的文件要进行安全检查之后再运行。
2.及时更新杀毒软件。