| 订阅 | 在线投稿
分享
 
 
 
 
 

Worm.MyInfect.an

2008-08-14 22:52:35  编辑来源:互联网  宽屏版  评论
  病毒名称(中文):
  艾妮
  病毒别名:
  麦英ANI蠕虫
  
  威胁级别:
  ★★☆☆☆
  病毒类型:
  蠕虫病毒
  病毒长度:
  9278
  影响系统:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行为:
  这是MyInfect病毒的一个新变种
  1:拷贝自己
  病毒会把自己拷贝自己到以下目录中(固定路径):
  C:\\ProgramFiles\\CommonFiles\\System\\driectdb.exe
  C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe(Worm.MyInfect.an.5512)
  并为driectdb.exe文件加入了隐藏属性,文件时间改为与notepad.exe时间相同.
  2:更改注册表
  病毒会在注册表的自启动项中添加一项,使自己能随Windows启动.
  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  EXPLORER="C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe"
  尝试删除此键:
  HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
  internat.exe
  3:注入进程
  病毒会把自己分别注入到两个进程中
  notepad.exe与iexplorer.exe中,负责感染文件与下载病毒之用
  4:下载文件
  被病毒注入的iexplorer.exe进程会下载http://w1.******.com/baner.gif文件到
  C:\\ProgramFiles\\CommonFiles\\System\\avp.ini,并能此文件进行解密,
  解密后如下:
  [config]
  Version=2.0.1
  NUM=7
  1=http://w1.******.com/images/image1.gif
  2=http://w1.******.com/images/image2.gif
  3=http://w1.******.com/images/image3.gif
  4=http://w1.******.com/images/image4.gif
  5=http://w1.******.com/images/image5.gif
  6=http://w1.******.com/images/image6.gif
  7=http://w1.******.com/images/image7.gif
  hos=http://w1.******.com/images/image8.gif
  UpdateMe=http://w1.******.com/9g.exe
  tongji=http://w1.******.com/love.htm
  image1.gif到image7.gif是盗号木马病毒,它能使用户的游戏帐号丢失
  hos是host文件,内容如下:
  127.0.0.1localhost
  127.0.0.1mmm.caifu18.net
  127.0.0.1www.18dmm.com
  127.0.0.1d.qbbd.com
  127.0.0.1www.5117music.com
  127.0.0.1www.union123.com
  127.0.0.1www.wu7x.cn
  127.0.0.1www.54699.com
  127.0.0.160.169.0.66
  127.0.0.160.169.1.29
  127.0.0.1www.97725.com
  127.0.0.1down.97725.com
  127.0.0.1ip.315hack.com
  127.0.0.1ip.54liumang.com
  127.0.0.1www.41ip.com
  127.0.0.1xulao.com
  127.0.0.1www.heixiou.com
  127.0.0.1www.9cyy.com
  127.0.0.1www.hunll.com
  127.0.0.1www.down.hunll.com
  127.0.0.1do.77276.com
  127.0.0.1www.baidulink.com
  127.0.0.1adnx.yygou.cn
  127.0.0.1222.73.220.45
  127.0.0.1www.f5game.com
  127.0.0.1www.guazhan.cn
  127.0.0.1wm,103715.com
  127.0.0.1www.my6688.cn
  127.0.0.1i.96981.com
  127.0.0.1d.77276.com
  127.0.0.1www1.cw988.cn
  127.0.0.1cool.47555.com
  127.0.0.1www.asdwc.com
  127.0.0.155880.cn
  127.0.0.161.152.169.234
  127.0.0.1cc.wzxqy.com
  127.0.0.1www.54699.com
  它能使上面的网站不能访问
  UpdateMe是病毒的自更新文件,以躲避杀毒软件对病毒的查杀
  tongji是病毒作者的统计数量计数器
  5:感染文件
  病毒会感染系统中.exe扩展名的文件,感染方式为叠加感染.
  6:生成autorun.ini
  病毒会把自己拷贝到移动磁盘的分区根目录下,
  命名为tool.exe,并生成相应的autorun.inf文件,
  通过移动磁盘传播自己.并尝试向A盘写aurorun.inf,
  系统会提示用户把软件插入A磁盘驱动器里.
 
 
 
病毒名称(中文): 艾妮 病毒别名: 麦英ANI蠕虫 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 9278 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是MyInfect病毒的一个新变种 1:拷贝自己 病毒会把自己拷贝自己到以下目录中(固定路径): C:\\ProgramFiles\\CommonFiles\\System\\driectdb.exe C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe(Worm.MyInfect.an.5512) 并为driectdb.exe文件加入了隐藏属性,文件时间改为与notepad.exe时间相同. 2:更改注册表 病毒会在注册表的自启动项中添加一项,使自己能随Windows启动. HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run EXPLORER="C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe" 尝试删除此键: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run internat.exe 3:注入进程 病毒会把自己分别注入到两个进程中 notepad.exe与iexplorer.exe中,负责感染文件与下载病毒之用 4:下载文件 被病毒注入的iexplorer.exe进程会下载http://w1.******.com/baner.gif文件到 C:\\ProgramFiles\\CommonFiles\\System\\avp.ini,并能此文件进行解密, 解密后如下: [config] Version=2.0.1 NUM=7 1=http://w1.******.com/images/image1.gif 2=http://w1.******.com/images/image2.gif 3=http://w1.******.com/images/image3.gif 4=http://w1.******.com/images/image4.gif 5=http://w1.******.com/images/image5.gif 6=http://w1.******.com/images/image6.gif 7=http://w1.******.com/images/image7.gif hos=http://w1.******.com/images/image8.gif UpdateMe=http://w1.******.com/9g.exe tongji=http://w1.******.com/love.htm image1.gif到image7.gif是盗号木马病毒,它能使用户的游戏帐号丢失 hos是host文件,内容如下: 127.0.0.1localhost 127.0.0.1mmm.caifu18.net 127.0.0.1www.18dmm.com 127.0.0.1d.qbbd.com 127.0.0.1www.5117music.com 127.0.0.1www.union123.com 127.0.0.1www.wu7x.cn 127.0.0.1www.54699.com 127.0.0.160.169.0.66 127.0.0.160.169.1.29 127.0.0.1www.97725.com 127.0.0.1down.97725.com 127.0.0.1ip.315hack.com 127.0.0.1ip.54liumang.com 127.0.0.1www.41ip.com 127.0.0.1xulao.com 127.0.0.1www.heixiou.com 127.0.0.1www.9cyy.com 127.0.0.1www.hunll.com 127.0.0.1www.down.hunll.com 127.0.0.1do.77276.com 127.0.0.1www.baidulink.com 127.0.0.1adnx.yygou.cn 127.0.0.1222.73.220.45 127.0.0.1www.f5game.com 127.0.0.1www.guazhan.cn 127.0.0.1wm,103715.com 127.0.0.1www.my6688.cn 127.0.0.1i.96981.com 127.0.0.1d.77276.com 127.0.0.1www1.cw988.cn 127.0.0.1cool.47555.com 127.0.0.1www.asdwc.com 127.0.0.155880.cn 127.0.0.161.152.169.234 127.0.0.1cc.wzxqy.com 127.0.0.1www.54699.com 它能使上面的网站不能访问 UpdateMe是病毒的自更新文件,以躲避杀毒软件对病毒的查杀 tongji是病毒作者的统计数量计数器 5:感染文件 病毒会感染系统中.exe扩展名的文件,感染方式为叠加感染. 6:生成autorun.ini 病毒会把自己拷贝到移动磁盘的分区根目录下, 命名为tool.exe,并生成相应的autorun.inf文件, 通过移动磁盘传播自己.并尝试向A盘写aurorun.inf, 系统会提示用户把软件插入A磁盘驱动器里.
󰈣󰈤
 
 
 
>>返回首页<<
 
 
 转载本文
 UBB代码 HTML代码
复制到剪贴板...
 
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
  免责声明:本文仅代表作者个人观点,与王朝网络无关。王朝网络登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有