“Worm.Anig.e”的意思、由来-中文百科全书

病毒简介

病毒别名：Worm.Win32.Anig.e[AVP]

处理时间：

威胁级别：★★

中文名称：阿泥哥

病毒类型：蠕虫

影响系统：WinNT

这是一个蠕虫病毒，与此病毒相关的是一个DLL文件ntgina.dll，病毒首先将自身以及当前目录下的DLL文件ntgina.dll复制到系统目录%system%，然后将系统目录中的副本加载到注册表的启动项，并将该副本创建为自启动服务。通过修改注册表，使得在用户登陆系统之前加载DLL文件ntgina.dll，从而盗取用户的登陆密码。病毒还可以通过弱密码攻击远程系统进行主动传播，如果连接远程主机成功，则将自身复制到目标主机的目录：\\ADMIN$\\SYSTEM32\\，然后连接远程主机的注册表并将病毒加载到注册表的启动项。病毒连接ICQ网址的端口5190发送上线通知，然后打开后门端口5190，利用ICQ软件进行远程控制或者传播。

传播过程

1.将自身复制到%system%目录，并尝试将当前目录下的DLL文件ntgina.dll复制并替换 we%system%\tgina.dll.

2.修改注册表。

将自身在系统目录的副本添加为自启动服务dfcsvc：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc

"Type"=dword:00000110

"Start"=dword:00000002

"ErrorControl"=dword:00000000

"ImagePath"="<病毒文件名> /dfcsvc"

"DisplayName"="Distributed File Controller"

"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00

"DependOnGroup"=hex(7):00,00

"ObjectName"="LocalSystem"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc\\Security

"Security"="<系统相关>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc\\Enum

"0"="Root\\\\LEGACY_DFCSVC\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC\\0000

"Service"="dfcsvc"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="Distributed File Controller"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="dfcsvc"

将自身加载到启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"Osa32"="<病毒原始文件名>"

添加与登陆相关的注册表项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"Ram32Data"="AMBIILKKEBMCFLLCNBMDICAFNBFCBLFK"

"Ram32ID"="<随机字符串>"

"Ram32Group"="UNK"

"GinaDll"="ntgina.dll"

3.通过修改"GinaDll"注册表键值，使得用户登陆之前加载病毒的DLL文件，如果该文件存在就可以盗取用户的登陆密码。

4.病毒还可以通过弱密码攻击远程系统进行主动传播,如果连接成功，则将自身复制到目标主机的目录：\\ADMIN$\\SYSTEM32\\，然后连接远程主机的注册表并将病毒加载到注册表的启动项。

5.病毒连接ICQ网址的端口5190发送上线通知，然后打开后门端口5190，利用ICQ软件进行远程控制或者传播。

词条	Worm.Anig.e
释义	病毒简介病毒性质传播过程病毒简介病毒别名：Worm.Win32.Anig.e[AVP] 处理时间：威胁级别：★★ 中文名称：阿泥哥病毒类型：蠕虫影响系统：WinNT 病毒性质这是一个蠕虫病毒，与此病毒相关的是一个DLL文件ntgina.dll，病毒首先将自身以及当前目录下的DLL文件ntgina.dll复制到系统目录%system%，然后将系统目录中的副本加载到注册表的启动项，并将该副本创建为自启动服务。通过修改注册表，使得在用户登陆系统之前加载DLL文件ntgina.dll，从而盗取用户的登陆密码。病毒还可以通过弱密码攻击远程系统进行主动传播，如果连接远程主机成功，则将自身复制到目标主机的目录：\\ADMIN$\\SYSTEM32\\，然后连接远程主机的注册表并将病毒加载到注册表的启动项。病毒连接ICQ网址的端口5190发送上线通知，然后打开后门端口5190，利用ICQ软件进行远程控制或者传播。传播过程 1.将自身复制到%system%目录，并尝试将当前目录下的DLL文件ntgina.dll复制并替换 we%system%\tgina.dll. 2.修改注册表。将自身在系统目录的副本添加为自启动服务dfcsvc： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc "Type"=dword:00000110 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"="<病毒文件名> /dfcsvc" "DisplayName"="Distributed File Controller" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc\\Security "Security"="<系统相关>" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dfcsvc\\Enum "0"="Root\\\\LEGACY_DFCSVC\\\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC "NextInstance"=dword:00000001 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC\\0000 "Service"="dfcsvc" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="" "DeviceDesc"="Distributed File Controller" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_DFCSVC\\0000\\Control "NewlyCreated"=dword:00000000 "ActiveService"="dfcsvc" 将自身加载到启动项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "Osa32"="<病毒原始文件名>" 添加与登陆相关的注册表项： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon "Ram32Data"="AMBIILKKEBMCFLLCNBMDICAFNBFCBLFK" "Ram32ID"="<随机字符串>" "Ram32Group"="UNK" "GinaDll"="ntgina.dll" 3.通过修改"GinaDll"注册表键值，使得用户登陆之前加载病毒的DLL文件，如果该文件存在就可以盗取用户的登陆密码。 4.病毒还可以通过弱密码攻击远程系统进行主动传播,如果连接成功，则将自身复制到目标主机的目录：\\ADMIN$\\SYSTEM32\\，然后连接远程主机的注册表并将病毒加载到注册表的启动项。 5.病毒连接ICQ网址的端口5190发送上线通知，然后打开后门端口5190，利用ICQ软件进行远程控制或者传播。
随便看	鹅凰嶂鹅脚板鹅颈烧瓶实验鹅考鹅口鹅口疮鹅快速育肥鹅岭公园鹅岭景区鹅岭乡鹅龙群礁鹅笼鹅笼书生鹅卵石鹅卵石滤料鹅卵石破碎机鹅卵石碎石机鹅卵石制砂机鹅卵石制沙机鹅妈妈鹅妈妈的故事鹅妈妈童谣鹅妈妈童谣集鹅毛鹅毛365网

病毒简介

病毒性质

传播过程