病毒别名： 处理时间：2007-04-23 威胁级别：★★

中文名称：麦英 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是"麦英"病毒的变种，该版本的变种与以前的变种变化较大。

1：释放文件

病毒运行后，会释放一个文件：

C:\\\\Program Files\\\\Common Files\\\\Microsoft Shared\\\\Web Folders\\\\MSOSVEXT.EXE (Worm.MyInfect.as.13312)

并拷贝自己到以下目录

C:\\\\Program Files\\\\Common Files\\\\Microsoft Shared\\\\Web Folders\\\\MSOSV.EXE

2：自启动

病毒会在服务里面添加一个名为"TCP/IP Service"的服务，并指向病毒体(MSOSV.exe)，

使自己能自启动，而老版本的病毒则是通过注册表启动项实现自启动。

3：注入进程

病毒会把Windows的记事本文件(notepad.exe,system32下)拷贝到Windows目录下，并

命名为svchost.exe后运行，之后启动IE进程，并向该两个进程里面注入代码，实现以下目的

a：IE进程

病毒下载http://temp.*******.com/table.gif(文件经过加密)并下载里面的内容

[config]

package=http://temp.*******.com/boot/table.gif

UpdateMe=http://temp.*******.com/boot/table.exe

hos=http://temp.*******.com/boot/imageh.gif

tongji=http://temp.*******.com/boot/long.htm

package是病毒下载器，下载其它木马

UpdateMe是病毒体的自更新

hos为host文件，替换用户系统的host文件

tongji是作者的感染数量统计

b：svchost.exe进程

病毒会枚举A-Z的分区，枚举出移动硬盘与网络共享分区，

并把自己拷贝到该分区的根目录下，命名为game.exe，

生成对应的autorun.inf，通过U盘与网络共享传播自己。