“PE远程后门844800”（PE.PECrypt.ze），这是一个PE病毒，它会感染Windows下所有的PE格式文件。病毒作者为病毒代码设置了加密，使病毒特征无法定位，试图以此阻止安全软件对它进行查杀。当它感染完文件后，就会释放出木马文件并执行，在用户电脑上制造后门，便于黑客入侵。5 e' b  ^7 c: V( x
　　一、“PE远程后门844800”（PE.PECrypt.ze） 威胁级别：★
. i$ R, v* R7 `8 U6 f$ n8 R  ]　　PE的意思是可移植的执行体，即portable executable，这是windows下广泛存在的一个32位的文件格式，PE病毒指的自然也就是感染这类文件的病毒。由于需要自己设置比较复杂的函数调用方式，PE病毒成为一些病毒作者用以炫耀自己技术的产品，在这样的情况下，PE病毒层出不穷。
/ \$ w5 |5 i! ^! K) ~# P, c  G5 J% g　　毒霸的反病毒工程师昨日处理的病毒中，就有一个PE病毒。它传播的方式是随着被感染的文件进入用户电脑，而当用户运行被感染的文件时，就会将其激活。5 y; c: N- @9 g, x; O
　　病毒被激活后，会立即运行起来。它将被感染的文件重新拆成正常文件和自己的病毒文件~ZY7.tmp，并把它们释放到系统临时文件夹中运行。由于文件会正常运行，用户一般难以发现自己电脑已经中毒。而这时，那个独立的病毒文件除了会搜寻别的正常文件进行感染外，还会试图打开用户的系统后门。原来，它是一个远程控制后门程序。当病毒成功开启后门，木马种植者（黑客）就能远程控制用户的电脑，进行任何想要的系统操作，甚至盗取用户的个人隐私和商业资料。
* E* u$ J/ F0 }+ x# Q+ T* X　　经金山毒霸官方网站反病毒工程师的分析，被感染后的文件入口地址被改到最后一个节表的病毒代码处执行，关键病毒代码被加密，前面一段代码就是解密后面的加密指令。病毒作者试图以此阻止安全软件的查杀，但毒霸仍可彻底清除该毒，因此已安装毒霸的用户们大可放心。不过，还是要再次提醒大家，在进行下载和接收他人从网上发来的文件时，最好用金山毒霸2008进行一下扫描，防止感染型病毒的潜入。0 F. a8 M1 X) d' d9 W3 c
　　关于该病毒的详细分析报告，可在金山病毒2008大百科中查阅：http://vi.duba.net/virus/pe-pecrypt-ze-844800-50474.html

坐個沙發，謝謝分享 !