worm.magistr.g专杀下载

病毒名称: Worm.Magistr.g

　　病毒是由C语言编写的感染型病毒，感染后缀名为EXE的32位PE可执行程序，病毒源的大小为40KB。

　　病毒源文件为boot.exe，由用户从U盘上提取。

　　病毒源文件流程:

　　boot.exe运行后检查自己是否在驱动器根目录下，如不是退出。

　　检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。
　　检查驱动文件是否存在，如不存在则生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除)，并调用ZwSetSystemInformation加载驱动。

　　装载该dll，然后查找病毒调用序号为101的导出函数。

　　DLL流程:

　　DLL被装载时：

　　1、获得系统sfc.dll中的SfcIsFileProtected函数地址，以便在感染时调用以防止感染受系统保护的文件。
　　2、获取系统的linkinfo.dll(%system32%目录下)的下列导出函数，使自己导出的同名函数指向正常的linkinfo.dll中正确的函数，以便转接这些函数。

　　ResolveLinkInfoW
　　ResolveLinkInfoA
　　IsValidLinkInfo
　　GetLinkInfoData
　　GetCanonicalPathInfoW
　　GetCanonicalPathInfoA
　　DisconnectLinkInfo
　　DestroyLinkInfo
　　CreateLinkInfoW
　　CreateLinkInfoA
　　CompareLinkInfoVolumes
　　CompareLinkInfoReferents

　　3、检查自己是否在explorer.exe进程中，如不是则启动病