复制自身到%sys32dir%\kdxxx.exe的中，xxx为3位"a--z"的随机小写字母，同时复制explorer.exe到%sys32dir%下。

3.添加注册表启动项：

Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件
Software\Microsoft\Windows\CurrentVersion run 指向病毒文件

运行msconfig可以看到病毒添加的启动项

 

 如果系统是Vista，会添加一个服务启动项： Windows Tribute Service。

4.Hook下列函数，隐藏病毒文件

NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess

5.将病毒代码注入到其他的系统进程中执行，

被注入代码的、进程的头部+Ch处，有"PE"的标记。

尝试注入的进程有explorer.exe、csrss.exe、runonce.exe、service.exe等等；

注入代码包括循环添加注册表启动项，循环修改DNS服务器设置；

连接远端地址64.*8.1*8.2*1，执行其他的黑客行为，盗取信息，下载；

检查到浏览器iexplorer.exe时，hook下列API：HttpSendRequestA、RegisterBindStatusCallback、recv。

检查到浏览器firefox.exe的话，hook下列API：recv。

6.结束自身进程

保留一个打开的句柄在csrss.exe中，防止自身被删除。

病毒通过以上技术进行隐藏，通常资源管理器搜索，是找不到病毒生成的kd*.exe文件的。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点