回复: 拦截启动项失败
再看看这个样本
特殊的启动方式(2)
Backdoor/systmp.exe
介绍:
从某种角度分类,病毒可以分为活跃型与隐蔽型2种。活跃型病毒往往释放很多文件,产生很多进程,较多的消耗系统资源,添加多个自启动
项且顽固驻留。隐蔽型做到最小化资源占用,力求不对系统造成任何影响,往往只拥有一个启动方式。隐蔽型的病毒比起活跃型更易存活,
因为用户难以发现它们。流氓软件、广告程序多属活跃型,而木马后门多属隐蔽型。
这次的样本就是一个隐蔽的后门。它通过修改AppInit_DLLs实现加载,动作很简单。但智能HIPS却常常被这种简单动作的样本蒙蔽。感染病
毒后,可以看出新启动的进程都有一个异常模块sys.tmp。
