| 订阅 | 在线投稿
分享
 
 
 

Worm.MyInfect.an

来源:互联网  宽屏版  评论
2008-08-14 22:52:35

病毒名称(中文):

艾妮

病毒别名:

麦英ANI蠕虫

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

9278

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是MyInfect病毒的一个新变种

1:拷贝自己

病毒会把自己拷贝自己到以下目录中(固定路径):

C:\\ProgramFiles\\CommonFiles\\System\\driectdb.exe

C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe(Worm.MyInfect.an.5512)

并为driectdb.exe文件加入了隐藏属性,文件时间改为与notepad.exe时间相同.

2:更改注册表

病毒会在注册表的自启动项中添加一项,使自己能随Windows启动.

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

EXPLORER="C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe"

尝试删除此键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

internat.exe

3:注入进程

病毒会把自己分别注入到两个进程中

notepad.exe与iexplorer.exe中,负责感染文件与下载病毒之用

4:下载文件

被病毒注入的iexplorer.exe进程会下载http://w1.******.com/baner.gif文件到

C:\\ProgramFiles\\CommonFiles\\System\\avp.ini,并能此文件进行解密,

解密后如下:

[config]

Version=2.0.1

NUM=7

1=http://w1.******.com/images/image1.gif

2=http://w1.******.com/images/image2.gif

3=http://w1.******.com/images/image3.gif

4=http://w1.******.com/images/image4.gif

5=http://w1.******.com/images/image5.gif

6=http://w1.******.com/images/image6.gif

7=http://w1.******.com/images/image7.gif

hos=http://w1.******.com/images/image8.gif

UpdateMe=http://w1.******.com/9g.exe

tongji=http://w1.******.com/love.htm

image1.gif到image7.gif是盗号木马病毒,它能使用户的游戏帐号丢失

hos是host文件,内容如下:

127.0.0.1localhost

127.0.0.1mmm.caifu18.net

127.0.0.1www.18dmm.com

127.0.0.1d.qbbd.com

127.0.0.1www.5117music.com

127.0.0.1www.union123.com

127.0.0.1www.wu7x.cn

127.0.0.1www.54699.com

127.0.0.160.169.0.66

127.0.0.160.169.1.29

127.0.0.1www.97725.com

127.0.0.1down.97725.com

127.0.0.1ip.315hack.com

127.0.0.1ip.54liumang.com

127.0.0.1www.41ip.com

127.0.0.1xulao.com

127.0.0.1www.heixiou.com

127.0.0.1www.9cyy.com

127.0.0.1www.hunll.com

127.0.0.1www.down.hunll.com

127.0.0.1do.77276.com

127.0.0.1www.baidulink.com

127.0.0.1adnx.yygou.cn

127.0.0.1222.73.220.45

127.0.0.1www.f5game.com

127.0.0.1www.guazhan.cn

127.0.0.1wm,103715.com

127.0.0.1www.my6688.cn

127.0.0.1i.96981.com

127.0.0.1d.77276.com

127.0.0.1www1.cw988.cn

127.0.0.1cool.47555.com

127.0.0.1www.asdwc.com

127.0.0.155880.cn

127.0.0.161.152.169.234

127.0.0.1cc.wzxqy.com

127.0.0.1www.54699.com

它能使上面的网站不能访问

UpdateMe是病毒的自更新文件,以躲避杀毒软件对病毒的查杀

tongji是病毒作者的统计数量计数器

5:感染文件

病毒会感染系统中.exe扩展名的文件,感染方式为叠加感染.

6:生成autorun.ini

病毒会把自己拷贝到移动磁盘的分区根目录下,

命名为tool.exe,并生成相应的autorun.inf文件,

通过移动磁盘传播自己.并尝试向A盘写aurorun.inf,

系统会提示用户把软件插入A磁盘驱动器里.

病毒名称(中文): 艾妮 病毒别名: 麦英ANI蠕虫 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 9278 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这是MyInfect病毒的一个新变种 1:拷贝自己 病毒会把自己拷贝自己到以下目录中(固定路径): C:\\ProgramFiles\\CommonFiles\\System\\driectdb.exe C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe(Worm.MyInfect.an.5512) 并为driectdb.exe文件加入了隐藏属性,文件时间改为与notepad.exe时间相同. 2:更改注册表 病毒会在注册表的自启动项中添加一项,使自己能随Windows启动. HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run EXPLORER="C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe" 尝试删除此键: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run internat.exe 3:注入进程 病毒会把自己分别注入到两个进程中 notepad.exe与iexplorer.exe中,负责感染文件与下载病毒之用 4:下载文件 被病毒注入的iexplorer.exe进程会下载http://w1.******.com/baner.gif文件到 C:\\ProgramFiles\\CommonFiles\\System\\avp.ini,并能此文件进行解密, 解密后如下: [config] Version=2.0.1 NUM=7 1=http://w1.******.com/images/image1.gif 2=http://w1.******.com/images/image2.gif 3=http://w1.******.com/images/image3.gif 4=http://w1.******.com/images/image4.gif 5=http://w1.******.com/images/image5.gif 6=http://w1.******.com/images/image6.gif 7=http://w1.******.com/images/image7.gif hos=http://w1.******.com/images/image8.gif UpdateMe=http://w1.******.com/9g.exe tongji=http://w1.******.com/love.htm image1.gif到image7.gif是盗号木马病毒,它能使用户的游戏帐号丢失 hos是host文件,内容如下: 127.0.0.1localhost 127.0.0.1mmm.caifu18.net 127.0.0.1www.18dmm.com 127.0.0.1d.qbbd.com 127.0.0.1www.5117music.com 127.0.0.1www.union123.com 127.0.0.1www.wu7x.cn 127.0.0.1www.54699.com 127.0.0.160.169.0.66 127.0.0.160.169.1.29 127.0.0.1www.97725.com 127.0.0.1down.97725.com 127.0.0.1ip.315hack.com 127.0.0.1ip.54liumang.com 127.0.0.1www.41ip.com 127.0.0.1xulao.com 127.0.0.1www.heixiou.com 127.0.0.1www.9cyy.com 127.0.0.1www.hunll.com 127.0.0.1www.down.hunll.com 127.0.0.1do.77276.com 127.0.0.1www.baidulink.com 127.0.0.1adnx.yygou.cn 127.0.0.1222.73.220.45 127.0.0.1www.f5game.com 127.0.0.1www.guazhan.cn 127.0.0.1wm,103715.com 127.0.0.1www.my6688.cn 127.0.0.1i.96981.com 127.0.0.1d.77276.com 127.0.0.1www1.cw988.cn 127.0.0.1cool.47555.com 127.0.0.1www.asdwc.com 127.0.0.155880.cn 127.0.0.161.152.169.234 127.0.0.1cc.wzxqy.com 127.0.0.1www.54699.com 它能使上面的网站不能访问 UpdateMe是病毒的自更新文件,以躲避杀毒软件对病毒的查杀 tongji是病毒作者的统计数量计数器 5:感染文件 病毒会感染系统中.exe扩展名的文件,感染方式为叠加感染. 6:生成autorun.ini 病毒会把自己拷贝到移动磁盘的分区根目录下, 命名为tool.exe,并生成相应的autorun.inf文件, 通过移动磁盘传播自己.并尝试向A盘写aurorun.inf, 系统会提示用户把软件插入A磁盘驱动器里.
󰈣󰈤
 
 
 
>>返回首页<<
 
 热帖排行
 
 
王朝网络微信公众号
微信扫码关注本站公众号wangchaonetcn
 
 
静静地坐在废墟上,四周的荒凉一望无际,忽然觉得,凄凉也很美
©2005- 王朝网络 版权所有