天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

专家为你详细解读艾妮新变种病毒机理

2008-2-18赛迪网佚名

  这是艾妮(“麦英”)病毒的变种,英文名:Worm.MyInfect.as,该版本的变种与以前的变种变化较大。

  昨天晚上收到艾妮的样本,在我的本本上测试不小心中了。还好这个样本因为程序BUG,那个svchost.exe感染失败了,不然,我惨死,估计作者还会更新修复这个BUG。以下是详细的分析报告:

  1.释放文件

  病毒运行后,会释放一个文件:

   

  C:\\Program Files\\Common Files\\Microsoft Shared\\Web
Folders\\MSOSVEXT.EXE (Worm.MyInfect.as.13312)

  并拷贝自己到以下目录

  C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE

  2.自启动

  病毒会在服务里面添加一个名为“TCP/IP Service”的服务,并指向病毒体(MSOSV.exe),使自己能自启动,而老版本的病毒则是通过注册表启动项实现自启动。

  3.注入进程

  病毒会把Windows的记事本文件(notepad.exe,system32下)拷贝到Windows目录下,并命名为svchost.exe后运行。之后启动IE进程,并向该两个进程里面注入代码,实现以下目的:

  a.IE进程

  病毒下载http://temp.*******.com/table.gif(文件经过加密)并下载里面的内容

   

  [config]
package=http://temp.*******.com/boot/table.gif
UpdateMe=http://temp.*******.com/boot/table.exe
hos=http://temp.*******.com/boot/imageh.gif
tongji=http://temp.*******.com/boot/long.htm

  package是病毒下载器,下载其它木马;

  UpdateMe是病毒体的自更新;

  hos为host文件,替换用户系统的host文件;

  tongji是作者的感染数量统计。

  b.svchost.exe进程

  病毒会枚举A-Z的分区,枚举出移动硬盘与网络共享分区,并把自己拷贝到该分区的根目录下,命名为game.exe,生成对应的autorun.inf,通过U盘与网络共享传播自己。

  【编后语:看来统计感染数量也是病毒作者成就感的一种体现啊!】

  

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理,安装维护:


本文来源:赛迪网 作者:佚名

声明
本文来源地址:0
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com.,本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行