请输入您要查询的百科知识:

 

词条 Win32/Almanahe.b
释义

概述

病毒特性:

Win32. Almanahe.B是一种通过网络共享复制的病毒。它在系统上安装一个rootkit,下载并运行任意文件。

感染方式:

当一个被感染文件运行时,Almanahe.B生成文件到以下位置:

%Windows%\\linkinfo.dll

%System%\\drivers\\RioDrvs.sys

%System%\\drivers\\DKIS6.sys

DLL文件被有意截取调用到一个干净的系统DLL文件%System%\\linkinfo.dll。当linkinfo.dll的一个API功能通过任意程序被调用时,在调用原始DLL中被请求的功能之前,Almanahe启动很多线程来运行它复制的代码。被感染文件还会注入很多线程到explorer.exe程序来调用这个复制代码。

两个SYS文件RioDrvs.sys 和 DKIS6.sys是一样的。RioDrvs.sys作为一个服务被安装,服务的名称为"RioDrvs",DKIS6.sys 加载到kernel memory 中,然后删除这个文件。

注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\\Winnt\\System32; 95,98 和 ME 的是C:\\Windows\\System; XP 的是C:\\Windows\\System32。

传播方式

通过文件感染进行传播

Almanahe 感染系统中以.exe 为扩展名的文件。

它不会感染包含以下字符串的目录中的文件:

\\QQ

:\\WINNT\\

:\\WINDOWS\\

LOCAL SETTINGS\\TEMP\\

病毒避免感染以下名称的文件:

.exe

asktao.exe

au_unins_web.exe

audition.exe

autoupdate.exe

ca.exe

cabal.exe

cabalmain.exe

cabalmain9x.exe

config.exe

dbfsupdate.exe

dk2.exe

dragonraja.exe

flyff.exe

game.exe

gc.exe

hs.exe

kartrider.exe

main.exe

maplestory.exe

meteor.exe

mhclient-connect.exe

mjonline.exe

mts.exe

nbt-dragonraja2006.exe

neuz.exe

nmcosrv.exe

nmservice.exe

nsstarter.exe

patcher.exe

patchupdate.exe

sealspeed.exe

trojankiller.exe

userpic.exe

wb-service.exe

woool.exe

wooolcfg.exe

xlqy2.exe

xy2.exe

xy2player.exe

zfs.exe

zhengtu.exe

ztconfig.exe

zuonline.exe

病毒还会感染系统中其它可利用的网络共享。

还要注意远程机器C: 盘Windows目录名为EXAMPLE的路径:

\\\\EXAMPLE\\C\\WINDOWS\\

以上路径不包括冒号。远程系统的%Windows%目录和子目录中的文件都将被感染。

它尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到C:\\Ins.exe,并作为一个服务安装。以下是它尝试的密码:

zxcv

qazwsx

qaz

qwer

!@#$%^&*()

!@#$%^&*(

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

654321

123456

12345

1234

123

111

admin

危害

下载并运行任意文件

Almanahe.B为用户默认的浏览器生成一个新程序,并将病毒代码注入程序中,允许它发送系统信息到以下站点,并从以下站点下载文件:

tj.imrw0rldwide.com.

soft.imrw0rldwide.com

允许它下载一个DLL文件和其它的恶意程序。如果更新的DLL文件是可利用的,就会保存到%Windows%\\AppPatch\\apphelps.dll.update。随后被移动到%Windows%\\AppPatch\\apphelps.dll,替换以前的同名文件。这个DLL中包含很多命令。

它还下载一个文件,其中包含一个URL列表,用来获取文件。这些文件使用相同的文件名被保存到%Temp%目录,随后运行这些文件。

这些文件的版本信息可能记录在:

HKLM\\Software\\Adobe\\Version

同时下载的文件是Lemir family病毒的一个变体。

终止进程

如果以下进程正在运行,Almanahe.B就会尝试终止它们,并删除与它们相关的文件:

c0nime.exe

cmdbcs.exe

ctmontv.exe

explorer.exe

fuckjacks.exe

iexpl0re.exe

iexplore.exe

internat.exe

logo1_.exe

logo_1.exe

lsass.exe

lying.exe

msdccrt.exe

msvce32.exe

ncscv32.exe

nvscv32.exe

realschd.exe

rpcs.exe

run1132.exe

rundl132.exe

smss.exe

spo0lsv.exe

spoclsv.exe

ssopure.exe

svch0st.exe

svhost32.exe

sxs.exe

sysbmw.exe

sysload3.exe

tempicon.exe

upxdnd.exe

wdfmgr32.exe

wsvbs.exe

其中几个文件名被其它病毒利用。

Rootkit 功能

Almanahe.B的 rootkit 功能显示为隐藏文件、注册表键值和与病毒相关的程序信息。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/4 13:25:45