该恶意软件为一个电脑病毒,其行为包括释放病毒文件、修改系统注册表、隐藏自身以及功能如IFEO映像劫持、破坏注册表键值、设置IE主页等。病毒会在系统中释放病毒文件,这些文件存储在多个位置,例如%SystemRoot%\system32\nwizs.exe,%SystemRoot%\system32\hook_nwizs.dll等。同时,该病毒还会修改系统注册表,在启动项中添加nwizs.exe,并隐藏自身文件和注册表键值,从而降低常规软件对它的检测能力。
此外,该病毒还具备一些功能,如IFEO映像劫持、破坏注册表键值、设置IE主页以及向作者报告主机信息等。然而,在测试中发现该恶意软件并没有使用这些功能。
为了混淆用户,该病毒会创建两个假冒的svchost.exe进程,并在所有驱动器下放置AUTO病毒autorun.inf和nwizs.exe。同时,在%UserProfile%\Local Settings\Temp目录下释放一个随机名.tmp文件来替换Beep.sys驱动程序,在不引起系统警报的情况下恢复SSDT表,从而使某些杀毒软件失去作用。
此外,该病毒还尝试注入iexplore.exe进程、关闭杀毒软件(如毒霸kavstart.exe)和特定名称窗口(如nwizs.exe),但测试显示它未能成功关闭毒霸窗口。最后,该病毒会下载一个恶意程序列表到%SystemRoot%\system32\nwizs.txt,并将下载的恶意程序隐藏在%UserProfile%\Local Settings\Temp目录下,其中包括机器狗(microsoft.exe)、hosts.exe、arp.exe等有害程序。
总结来说,这个电脑病毒通过多种手段来隐藏自身和干扰系统运行,用户应该谨慎使用并及时更新杀毒软件以保护自己的计算机安全。同时建议用户定期清理系统垃圾文件并备份重要数据以防万一发生数据丢失。
此外,该病毒还具备一些功能,如IFEO映像劫持、破坏注册表键值、设置IE主页以及向作者报告主机信息等。然而,在测试中发现该恶意软件并没有使用这些功能。
为了混淆用户,该病毒会创建两个假冒的svchost.exe进程,并在所有驱动器下放置AUTO病毒autorun.inf和nwizs.exe。同时,在%UserProfile%\Local Settings\Temp目录下释放一个随机名.tmp文件来替换Beep.sys驱动程序,在不引起系统警报的情况下恢复SSDT表,从而使某些杀毒软件失去作用。
此外,该病毒还尝试注入iexplore.exe进程、关闭杀毒软件(如毒霸kavstart.exe)和特定名称窗口(如nwizs.exe),但测试显示它未能成功关闭毒霸窗口。最后,该病毒会下载一个恶意程序列表到%SystemRoot%\system32\nwizs.txt,并将下载的恶意程序隐藏在%UserProfile%\Local Settings\Temp目录下,其中包括机器狗(microsoft.exe)、hosts.exe、arp.exe等有害程序。
总结来说,这个电脑病毒通过多种手段来隐藏自身和干扰系统运行,用户应该谨慎使用并及时更新杀毒软件以保护自己的计算机安全。同时建议用户定期清理系统垃圾文件并备份重要数据以防万一发生数据丢失。