(二)病毒行为分析
(1)病毒执行
执行病毒文件shake.exe以后,病毒会将用户桌面上打开的活动窗口震动一到两秒钟,如果桌面没有打开任何窗口,执行该病毒看不到任何反应。然后,病毒拷贝自身到\Windows\System目录(如果系统为NT、2000或者XP,将拷贝到\Winnt\System目录),并取名为任意8位字符的组合。
(2)开机运行
为了病毒随系统开机运行,病毒会修改注册表相应键值。病毒将以下信息加入到注册表的HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run部分:
SystemInfo C:\Windows \System\<8位任意字符组合>.exe
SystemInfoM C:\Windows \System\<8位任意字符组合>.exe
我们需要注意的一点是,这里,病毒用了一个很巧妙的迷惑手段,那就是将注册表主键取名为SystemInfo和SystemInfoM,这样,我们在查看注册表的时候可能会认为是"系统信息"而忽略了病毒。
(3)修改主页
病毒运行以后,会查找C:\inetpub\wwwroot中的所有htm、html、asp文件,并插入以下信息:
MatriX is out there
MatriX has You...
MatriX is All around You
以上信息字体为绿色,背景为白色,如图:
(4) 随机建立目录
病毒会随机建立以MatriX开头的目录和子目录,如图:
(5) 随机删除可执行文件
病毒会随机删除系统不同目录下的可执行exe文件并用病毒自身代替。为了给病毒自身不同图标,病毒会搜索exe文件并且提取这些exe文件中的图标文件,将这些图标文件保存到\Windows\System下的T_672b.ttm文件。
二、 病毒清除
由于改病毒比较复杂,建议不要自己清除病毒。为了防治病毒运行,我们可以首先手动修改注册表HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run的以下信息以病毒以防止病毒开机运行:
SystemInfo C:\Windows \System\.exe
SystemInfoM C:\Windows \System\.exe
三、 总结
看完以上病毒分析,我们可以知道W32.Shatrix病毒旧有危害大难清除的特征,在接受邮件的时候,我们应该注意是否有该病毒特征的邮件一面感染。
