回复:cmd进程病毒
这个病毒的原理应该是这样:
1 通过sqlserver数据库进程启动批处理程序
2 在批处理中生成*.sys和*.bat文件,并在其中写入通过ftp下载病毒文件的代码。
3 运行生成的批处理文件通过ftp下载病毒
4下载完成后运行该病毒,并删除下载批处理程序。消灭病毒来源的痕迹。
也就是说上面说道的*.sys 和 *.bat都不是病毒,是用来下载病毒用的。
真正的病毒是 boots1.exe和bootss.exe等等这些东东。
从我的机器搜索来看,这些病毒并没有成功的下载到我的计算机上。大约是因为我禁用了ftp的关系。
这个病毒的可恶之处就在于,不杀灭sqlserver程序中的病毒代码。那么他就会不断的从不同的ftp上下载各种版本的病毒木马。让你的计算机处于危险的边缘。
