病毒分类 WINDOWS下的PE病毒 病毒名称 Trojan.Reper.h
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作 瑞 星 版 本 号
17.24.51
木马
1.病毒启动后将自己先拷贝到windows目录下命名为VIEWER.EXE ,拷贝到系统目录下命名为 N0TEPAD.EXE 注册为服务进程在后台隐藏运行。
2.
在注册表中添加一项自启动项如下:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"runreper" = %WINDOWS%\VIEWER.EXE
修改txt文件的文件关联
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(默认) = %SYSTEM%32\N0TEPAD.EXE %1
3.启动一个线程不停的在系统中搜索含有下列字符串的进程并将其强行结束:
"regedit.exe"
"taskmgr.exe"
"cmd.exe"
"ntvdm.exe"
"proc"
"毒"
"木马"
"杀"
4.设置一个时钟,每隔1.2秒就对当前的系统逻辑分区遍历一次,每遍历到一个逻辑分区就将病毒文件写入分区的根目录,并命名为 reper.exe 然后写入一个 autorun.inf 文件,这样只要每次通过双击鼠标打开一个分区时病毒文件就会被运行。遍历完分区后病毒会重新写入注册表的启动项和txt文件的关联项,因此只要病毒进程没有被结束的话注册表和各个分区的中的病毒文件就不能被彻底清楚。
5.由于此病毒不停的监控逻辑分区,因此一些移动盘接入被感染的系统后也会被写入病毒文件和inf文件。
