问题求证:
一、
2.不断调用reg.exe进行相关的系统破坏,其中包括
(1)添加自身启动项目
(2)禁用Windows自动更新
(3)禁用任务管理器
(4)破坏显示隐藏文件
(5)不显示文件扩展名
这部分似乎没有“不断调用”。只在主程序模块中调用进行一次。之后用SetTimer来循环调用的是,是用reg.exe修改主页并设置不能修改主页的部分,而不是进行上面这些破坏的部分吧?
二、
5.连接网络下载3个txt文本文档,并把它们保存到%systemroot%\system32下面命名为FSEz.COM,
FSEx.COM,FSEc.COM,FSEv.COM,FSEb.COM等
这三个文本文档一般分别为
http://*/url.txt
http://*/IE.txt
http://*/table.txt
URL地址只有三个,却下载到五个本地地址?
实际上,IE.txt被下载到FSEb.COM,url.txt被下载到FSEc.COM,table.txt被下载到FSEx.COM
那么,另外这两个FSEz.COM和FSEv.COM,到底是从哪里下载的?他们各自有什么用?
如果不下载IE.txt,就不会改主页。那么,病毒修改网页文件这个行为呢?它们跟FSEz.COM和FSEv.COM有没有关系?
三、病毒应该是先在%systemroot%\system32文件夹下创建AuToRUN.Inf,然后再复制到各盘符根目录的。
四、是不是不下载table.txt的话,病毒就不对杀毒软件进行破坏了?除了table.txt中所说的之外,病毒有没有内置其他的需要关闭的窗口标题?
除了用PostMessageA的办法关闭table.txt列出的窗口之外,病毒同样还有用SetTimer做出其他对抗安全软件的行为,在这个行为中,两个软件特别受病毒的“照顾”,是哪两个?病毒分别是怎么“照顾”它们的?
希望阳光再确认一下这几个疑点。不一定要在帖子中回答,但是最好搞清楚,这样对全面了解这个病毒的行为有好处。
