§ 概述

病毒别名：Worm.Win32.Anig.e【AVP】

处理时间：

威胁级别：★★

中文名称：阿泥哥

病毒类型：蠕虫

影响系统：WinNT

§ 病毒行为:

这是一个蠕虫病毒，与此病毒相关的是一个DLL文件ntgina.dll，病毒首先将自身以及当前目录下的DLL文件ntgina.dll复制到系统目录%system%，然后将系统目录中的副本加载到注册表的启动项，并将该副本创建为自启动服务。通过修改注册表，使得在用户登陆系统之前加载DLL文件ntgina.dll，从而盗取用户的登陆密码。病毒还可以通过弱密码攻击远程系统进行主动传播，如果连接远程主机成功，则将自身复制到目标主机的目录：\\ADMIN$\\SYSTEM32\\，然后连接远程主机的注册表并将病毒加载到注册表的启动项。病毒连接ICQ网址的端口5190发送上线通知，然后打开后门端口5190，利用ICQ软件进行远程控制或者传播。

1.将自身复制到%system%目录，并尝试将当前目录下的DLL文件ntgina.dll复制并替换we%system%\tgina.dll.

2.修改注册表。

将自身在系统目录的副本添加为自启动服务dfcsvc：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="<病毒文件名> /dfcsvc"

"DisplayName"="Distributed File Controller"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00

"DependOnGroup"=hex(7):00,00

"ObjectName"="LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc\\Security

"Security"="<系统相关>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc\\Enum

"0"="Root\\\\LEGACY_DFCSVC\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC\\0000

"Service"="dfcsvc"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="Distributed File Controller"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="dfcsvc"

将自身加载到启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Osa32"="<病毒原始文件名>"

添加与登陆相关的注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"Ram32Data"="AMBIILKKEBMCFLLCNBMDICAFNBFCBLFK"

"Ram32ID"="<随机字符串>"

"Ram32Group"="UNK"

"GinaDll"="ntgina.dll"

3.通过修改"GinaDll"注册表键值，使得用户登陆之前加载病毒的DLL文件，如果该文件存在就可以盗取用户的登陆密码。

4.病毒还可以通过弱密码攻击远程系统进行主动传播,如果连接成功，则将自身复制到目标主机的目录：\\ADMIN$\\SYSTEM32\\，然后连接远程主机的注册表并将病毒加载到注册表的启动项。

5.病毒连接ICQ网址的端口5190发送上线通知，然后打开后门端口5190，利用ICQ软件进行远程控制或者传播。

• 郭颂
• 郭预
• 郭预衡
• 郭风
• 郭风(1919- )
• 郭风修烈士
• 郭风琪烈士
• 郭飞烈士
• 郭骏
• 郭高计
• 郭魏
• 郭鸡公子烈士
• 郭鸣周
• 郭鸿宾
• 郭鸿斌
• 郭鸿武
• 郭鹃
• 郭鹏
• 郭鹏(2)
• 郭鹤年
• 郭麟
• 郭麟孙
• 郭麻日寺
• 郭鼎
• 郭鼎京