Win32.Crunk.a 简要分析
病毒名:Win32.Crunk.a
如果成功,它会删除以下文件:
• %系统驱动器根目录%\*.* • %当前目录%\*.*
最重要的是搜索全盘PE文件,被感染的EXe 和 Scr 将无法被恢复。
EPO (入口模糊化 Entry Point Obscuring) - 受感染文件的 EP (入口 Entry Point) 保持不变。 病毒对程序代码进行修补,将其执行重定向到病毒代码。病毒包含多态引擎。每次感染时整个病毒代码都会改变。 受感染的文件通常已经损坏或崩溃。还会判断是否存在以下文件,有则删除:C:\Boot.iniC:\Ntldr.com都是跟系统启动相关的重要系统文件用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
