词条 | Win32/Almanahe.b |
释义 | 概述病毒特性: Win32. Almanahe.B是一种通过网络共享复制的病毒。它在系统上安装一个rootkit,下载并运行任意文件。 感染方式: 当一个被感染文件运行时,Almanahe.B生成文件到以下位置: %Windows%\\linkinfo.dll %System%\\drivers\\RioDrvs.sys %System%\\drivers\\DKIS6.sys DLL文件被有意截取调用到一个干净的系统DLL文件%System%\\linkinfo.dll。当linkinfo.dll的一个API功能通过任意程序被调用时,在调用原始DLL中被请求的功能之前,Almanahe启动很多线程来运行它复制的代码。被感染文件还会注入很多线程到explorer.exe程序来调用这个复制代码。 两个SYS文件RioDrvs.sys 和 DKIS6.sys是一样的。RioDrvs.sys作为一个服务被安装,服务的名称为"RioDrvs",DKIS6.sys 加载到kernel memory 中,然后删除这个文件。 注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。 传播方式通过文件感染进行传播 Almanahe 感染系统中以.exe 为扩展名的文件。 它不会感染包含以下字符串的目录中的文件: :\\WINNT\\ :\\WINDOWS\\ LOCAL SETTINGS\\TEMP\\ 病毒避免感染以下名称的文件: .exe asktao.exe au_unins_web.exe audition.exe autoupdate.exe ca.exe cabal.exe cabalmain.exe cabalmain9x.exe config.exe dbfsupdate.exe dk2.exe dragonraja.exe flyff.exe game.exe gc.exe hs.exe kartrider.exe main.exe maplestory.exe meteor.exe mhclient-connect.exe mjonline.exe mts.exe nbt-dragonraja2006.exe neuz.exe nmcosrv.exe nmservice.exe nsstarter.exe patcher.exe patchupdate.exe sealspeed.exe trojankiller.exe userpic.exe wb-service.exe woool.exe wooolcfg.exe xlqy2.exe xy2.exe xy2player.exe zfs.exe zhengtu.exe ztconfig.exe zuonline.exe 病毒还会感染系统中其它可利用的网络共享。 还要注意远程机器C: 盘Windows目录名为EXAMPLE的路径: \\\\EXAMPLE\\C\\WINDOWS\\ 以上路径不包括冒号。远程系统的%Windows%目录和子目录中的文件都将被感染。 它尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到C:\\Ins.exe,并作为一个服务安装。以下是它尝试的密码: zxcv qazwsx qaz qwer !@#$%^&*() !@#$%^&*( !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 654321 123456 12345 1234 123 111 admin 危害下载并运行任意文件 Almanahe.B为用户默认的浏览器生成一个新程序,并将病毒代码注入程序中,允许它发送系统信息到以下站点,并从以下站点下载文件: tj.imrw0rldwide.com. soft.imrw0rldwide.com 允许它下载一个DLL文件和其它的恶意程序。如果更新的DLL文件是可利用的,就会保存到%Windows%\\AppPatch\\apphelps.dll.update。随后被移动到%Windows%\\AppPatch\\apphelps.dll,替换以前的同名文件。这个DLL中包含很多命令。 它还下载一个文件,其中包含一个URL列表,用来获取文件。这些文件使用相同的文件名被保存到%Temp%目录,随后运行这些文件。 这些文件的版本信息可能记录在: HKLM\\Software\\Adobe\\Version 同时下载的文件是Lemir family病毒的一个变体。 终止进程 如果以下进程正在运行,Almanahe.B就会尝试终止它们,并删除与它们相关的文件: c0nime.exe cmdbcs.exe ctmontv.exe explorer.exe fuckjacks.exe iexpl0re.exe iexplore.exe internat.exe logo1_.exe logo_1.exe lsass.exe lying.exe msdccrt.exe msvce32.exe ncscv32.exe nvscv32.exe realschd.exe rpcs.exe run1132.exe rundl132.exe smss.exe spo0lsv.exe spoclsv.exe ssopure.exe svch0st.exe svhost32.exe sxs.exe sysbmw.exe sysload3.exe tempicon.exe upxdnd.exe wdfmgr32.exe wsvbs.exe 其中几个文件名被其它病毒利用。 Rootkit 功能 Almanahe.B的 rootkit 功能显示为隐藏文件、注册表键值和与病毒相关的程序信息。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。