还在于他的多变性。病毒执行时会将自己复制到临时目录,再运行在临时目录中的副本。病毒还会在windows的system目录中生成load.exe文件,同时修改system.ini中的shell从shell=explorer.exe改为explorer.exe load.exe—dontrunold,使病毒在下次系统启动时仍然被激活。
另外,在system目录下,病毒还会生成一个副本:riched20.dll。为了通过邮件将自己传播出去,病毒使用了mapi函数读取用户的email并从中读取smtp地址和email地址。
另外,病毒运行时会利用shellexcute执行系统中的一些命令如:net.exe、user.exe、share.exe等命令,将guest用户添加到guests、administrators组(针对nt/2000/xp),并激活guest用户。还将c盘根目录共享出来。
网监部门大吃一惊,这个lokhard病毒好恐怖的进攻能力竟然如此之强,好恐怖!到底是谁?lokhard?这不是寒国黑客国际排得上名号的网络通缉犯吗?
怎么会有多人同时