病毒标签

病毒描述

行为分析

清除方案

病毒标签

病毒名称： Worm.Win32.AutoRun.bem

中文名称： ani寄生虫

病毒类型： 蠕虫类

文件 MD5： A08D91C12844A20171211E7A74B5752B

公开范围： 完全公开

危害等级： 4

文件长度： 28,000字节

感染系统： Windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： Upack 0.3.9 beta2s

病毒描述

该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。添加映像劫持项，劫持众多计算机安全相关软件。感染非系统盘符下的大部分exe文件，感染方式是在文件尾部加一个.ani节，将病毒信息写入其中，入口点改为病毒运行入口点等。连接网络下载病毒文件并回传收集到的计算机MAC、系统版本等信息。

行为分析

本地行为

1、文件运行后会衍生以下文件

（1）%WinDir%\\Fonts\\system\\ati2evxx.exe 28,000字节

（2）在各个逻辑驱动器根目录下衍生autorun.inf及其对应的执行文件ntldr.exe

%DriveLetter%\\autorun.inf

%DriveLetter%\tldr.exe

2、新建注册表

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

注册表值："TBMonEx"

类型： REG_SZ

值： " C:\\WINDOWS\\Fonts\\system\\ati2evxx.exe"

描述：添加启动项，以达到随机启动的目的

3、添加映像劫持项，劫持众多计算机安全相关软件，劫持到C:\\WINDOWS\\Fonts\\system\\ati2evxx.exe

被劫持的文件：

360rpt.exe

360Safe.exe

360tray.exe

_AVP32.EXE

_AVPCC.EXE

_AVPM.EXE

ACKWIN32.EXE

ANTI-TROJAN.EXE

APVXDWIN.EXE

AUTODOWN.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCTRL.EXE

AVKSERV.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

CLAW95CF.EXE

CLEANER.EXE

CLEANER3.EXE

DVP95.EXE

DVP95_0.EXE

ECENGINE.EXE

EGHOST.EXE

ESAFE.EXE

EXPWATCH.EXE

F-AGNT95.EXE

F-PROT.EXE

F-PROT95.EXE

F-STOPW.EXE

FESCUE.EXE

FINDVIRU.EXE

FP-WIN.EXE

FPROT.EXE

FRW.EXE

IAMAPP.EXE

IAMSERV.EXE

RAVmonD.exe

IBMASN.EXE

IBMAVSP.EXE

ICLOAD95.EXE

ICLOADNT.EXE

ICMON.EXE

ICSUPP95.EXE

ICSUPPNT.EXE

IFACE.EXE

IOMON98.EXE

Iparmor.exe

JEDI.EXE

KAV32.exe

KAVPFW.EXE

KAVsvc.exe

KAVSvcUI.exe

KVFW.EXE

KVMonXP.exe

KVMonXP.kxp

KVSrvXP.exe

KVwsc.exe

KvXP.kxp

KWatchUI.EXE

LOCKDOWN2000.EXE

Logo1_.exe

Logo_1.exe

LOOKOUT.EXE

LUALL.EXE

MAILMON.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

Navapsvc.exe

Navapw32.exe

NAVLU32.EXE

NAVNT.EXE

navw32.EXE

NAVWNT.EXE

NISUM.EXE

NMain.exe

NORMIST.EXE

NUPGRADE.EXE

NVC95.EXE

PAVCL.EXE

PAVSCHED.EXE

PAVW.EXE

PCCWIN98.EXE

PCFWALLICON.EXE

PERSFW.EXE

PFW.EXE

Rav.exe

RAV7.EXE

RAV7WIN.EXE

RAVmon.exe

RAVtimer.exe

Rising.exe

SAFEWEB.EXE

SCAN32.EXE

SCAN95.EXE

SCANPM.EXE

SCRSCAN.EXE

SERV95.EXE

SMC.EXE

SPHINX.EXE

SWEEP95.EXE

TBSCAN.EXE

TCA.EXE

TDS2-98.EXE

TDS2-NT.EXE

THGUARD.EXE

TrojanHunter.exe

VET95.EXE

VETTRAY.EXE

VSCAN40.EXE

VSECOMR.EXE

VSHWIN32.EXE

VSSTAT.EXE

WEBSCANX.EXE

WFINDV32.EXE

ZONEALARM.EXE

修复工具.exe

4、感染非系统盘符下的大部分exe文件，感染方式：在文件尾部加一个.ani节，将病毒信息写入其中，原入口点写入.ani节中进行保存，入口点改为病毒运行入口，修改节表与映像大小等信息。

网络行为

以进程ati2evxx.exe连接网络：69.64.147.*:666，下载病毒文件并回传信息。

注释：

%Windir%　WINDODWS所在目录

%DriveLetter%　逻辑驱动器根目录

%ProgramFiles%　系统程序默认安装目录

%HomeDrive%　当前启动系统所在分区

%Documents and Settings%　当前用户文档根目录

%Temp%　当前用户TEMP缓存变量；路径为：

%Documents and Settings%\\当前用户\\Local Settings\\Temp

%System32%　是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\\Winnt\\System32；

Windows95/98/Me中默认的安装路径是　C:\\Windows\\System；

WindowsXP中默认的安装路径是　C:\\Windows\\System32。

清除方案

1、使用安天防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool管理工具。

（1）使用安天木马防线或ATool中的“进程管理”关闭病毒进程

C:\\WINDOWS\\Fonts\\system\\ati2evxx.exe

（2）强行删除病毒文件

%WinDir%\\Fonts\\system\\ati2evxx.exe 28,000字节

%DriveLetter%\\autorun.inf

%DriveLetter%\tldr.exe

（3）删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

注册表值："TBMonEx"

类型： REG_SZ

值： " C:\\WINDOWS\\Fonts\\system\\ati2evxx.exe"

（4）清除映像劫持下病毒添加的注册表项。

（5）使用AVLPK安天终级专杀工具可彻底清除该病毒及修复其感染的正常文件。