新近出现的病毒W32.Sens.A很有特点:不仅非常善于伪装自己,而且它的种种行为又同日期有很高的关联度。
首先,病毒W32.Sens.A可能伪装成setup.exe文件进入用户计算机中,并利用()图标作为自己的身份“掩体”。通常用户看到这类图标,会很自然地把该文件当做安装程序使用,即使他们并不清楚文件的真实内容。
病毒运行时,首先会将文件seus.dll释放到系统目录,该文件将被注册为系统服务文件
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\"ServiceDll" = "%System%\seus.dll"以实现病毒在开机时自动启动。随后,病毒将被感染计算机的时间篡改为2001年8月18日。同时,病毒会在硬盘中搜索病毒编写者感兴趣的信息,并将窃取的信息连同本机用户名、IP地址、操作系统版本和计算机名一起发送至远端的恶意服务器。另外,病毒还会试图下载并执行恶意代码。
值得注意的是,病毒的其它行为还取决于计算机被感染的日期。若计算机在星期二被感染,病毒会在临时目录生成文件~DF5J4E9.tmp;若在星期三被感染,病毒会在系统目录下生成文件dx.vxd;如果在星期四被感染,病毒会感染硬盘上的文件;感染后的文件将会增大8,026字节。