[推荐]专家为你详细解读艾妮新变种病毒机理这是艾妮(“麦英”)病毒的变种,英文名:Worm.MyInfect.as,该版本的变种与以前的变种变化较大。
昨天晚上收到艾妮的样本,在我的本本上测试不小心中了。还好这个样本因为程序BUG,那个svchost.exe感染失败了,不然,我惨死,估计作者还会更新修复这个BUG。以下是详细的分析报告:
1.释放文件
病毒运行后,会释放一个文件:
C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSVEXT.EXE (Worm.MyInfect.as.13312) |
C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE |
2.自启动
病毒会在服务里面添加一个名为“TCP/IP Service”的服务,并指向病毒体(MSOSV.exe),使自己能自启动,而老版本的病毒则是通过注册表启动项实现自启动。
3.注入进程
病毒会把Windows的记事本文件(notepad.exe,system32下)拷贝到Windows目录下,并命名为svchost.exe后运行。之后启动IE进程,并向该两个进程里面注入代码,实现以下目的:
a.IE进程
病毒下载http://temp.*******.com/table.gif(文件经过加密)并下载里面的内容
[config] package=http://temp.*******.com/boot/table.gif UpdateMe=http://temp.*******.com/boot/table.exe hos=http://temp.*******.com/boot/imageh.gif tongji=http://temp.*******.com/boot/long.htm |
UpdateMe是病毒体的自更新;
hos为host文件,替换用户系统的host文件;
tongji是作者的感染数量统计。
b.svchost.exe进程
病毒会枚举A-Z的分区,枚举出移动硬盘与网络共享分区,并把自己拷贝到该分区的根目录下,命名为game.exe,生成对应的autorun.inf,通过U盘与网络共享传播自己。
| 硬盘及内存检测病毒 四种查病毒的 | 04-30 | |
| 灰鸽子全面解析 | 04-14 | |
| 如何安全运行从网上下载的可疑软 | 04-05 | |
| DOS下清除熊猫的简单方法 | 02-02 | |
| 杀熊猫烧香100%成功绝招 | 01-27 | |
| 通过电信宽带上网的用户将被电信 | 01-17 | |
| 互联星空挂的一个强马,禁用杀软 | 12-02 | |
| 本周新增5款恶意软件 利字当头顶 | 12-01 | |
| 与世界同步!让你的病毒库备份自 | 11-30 | |
| 番茄花园版XP的安全漏洞兼安全措 | 10-13 | |
| “区域和语言”对Windows系统稳定 | 10-04 | |
| 服务器安全:堵上致命的IISUnico | 10-03 | |
您现在的位置: