添加到百度搜藏病毒行为:
这是一个灰鸽子后门新变种。病毒为伪装自身,将文件图标设计为RealPlayer图标,欺骗用户点击,运行后删除原始病毒文件。
1.病毒运行后首先检测当前运行的病毒文件是否在系统目录中,若不是则复制自身为X:\windows\fes.exe,为防止被修改,文件属性设置为只读和系统。
2.注册fes.exe为服务sght,服务描述名dswf,描述信息dju,这3个名字是作者随便取的。
修改注册表相应位置:HKLM\SYSTEM\CurrentControlSet\Services\sght;开启该服务运行fes.exe;
3.病毒为清除自身痕迹,创建并运行bat文件来删除自身,将后续任务都交给fes.exe。
4.fes.exe连接黑客指定端口接收命令,该病毒为控制端设计了相当多控制功能,用户一旦中招,黑客几乎可以完全远程控制用户电脑。