就是这个病毒
病毒行为
该病毒是一个PE感染型病毒。感染本机固定磁盘上的所有PE文件,并加密原文件的资源节,由于该病毒技术上的一些原因,导致被感染后的文件不能正常运行。
1.判断文件偏移0x610处是否为“Ijeefo!Esbhpo!wjsvt/!Cpso!jo!b!uspqjdbm!txbnq/”
该字符串被加密,原字符串应为“Hidden Dragon virus. Born in a tropical swamp.”
如是则已被感染病毒。
2.创建一个名为“GlobalPowerManagerMutant”的互斥量
3.把文件属性设为系统、隐藏
4.复制自身到临时文件夹并运行。
5.复制自身到%SystemRoot%\svchost.exe并运行
6.把当前进程注册为服务
7.向注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
添加PowerManager=%SystemRoot%svchost.exe
8.向系统注册一个服务
ServiceName=PowerManager
DisplayName=PowerManager
StartType=SERVICE_AUTO_START
ImagePathName=%SystemRoot%\svchost
说明=Manages the power save features of the computer.
9.加密原文件的资源节
