win32.tufei.b的简介
该病毒是一个感染可执行程序的感染型病毒
一旦被感染,病毒将建立多个线程进行破坏活动
病毒首先创建一个远程线程,关闭WINDOWS的文件保护机制,该机制使得在当系统文件遭修改时系统自动恢复该文件,关闭后病毒可以任意修改系统文件
然后病毒感染资源管理器,该程序是系统最重要的文件之一,每次系统引导到WINDOWS下后都会执行,这就使病毒获得运行机会,病毒并不感染C:D:E:这几个驱动器的下文件,感染排除这几个驱动器以外除CDROM的所有驱动器<如 U 盘 等,现在使用 U 盘的人越来越多,这使得病毒能够大量传播>。
病毒随后建立多个线程:
后门线程
感染线程 -〉该线程每隔15秒遍历各驱动器,试图感染后缀为“.exe”的文件
点击网页、键盘记录线程 -〉病毒每隔 3 分钟就点击网页,同时记录用户的所有键盘操作,保存在文件 “AdvKey.dll” ,这个文件在系统目录下<默认为C:\Windows\System32或C:\Winnt\System32>
由于该病毒本身的问题,会造成部分文件感染后变小,破坏了该文件,这是无法恢复的,这部分文件一般是安装文件或其它,因为这类文件一般来说会将资源附加到文件尾部;
在通常情况下当插入 U 盘或其它活动磁盘时病毒都会导致资源管理器异常,这是病毒本身的问题。
为彻底清除该病毒,请在打开文件监控的情况下进行全盘杀毒,并请务必重新启动系统,因为病毒关闭
系统的文件保护机制后无法在运行时恢复。
