Worm.MyInfect.al
病毒别名:麦英 ANI蠕虫 处理时间:2007-04-03 威胁级别:★★
中文名称:艾妮 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是麦英病毒的一个变种,会感染系统中的EXE文件,但不会感染网页文件,
建议用户打开病毒防火墙防止病毒的感染。
1:拷贝本体
病毒运行后会把自己拷贝到系统目录下
%SYSTEM%sysbmw.exe
2:更改注册表
病毒会在注册表中添加自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
System Boot Check = "C:\Windows\System32\SYSBMW.exe"
并删除该键值
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
internat.exe
3:下载其它病毒
病毒会启动一个IE的进程,并把自己的代码注入到IE进程里
在IE中下载列表文件上面的病毒:
列表文件如下:
[config]
Version=1.0.6
NUM=7
1=http://a.******.com/cald/01.gif
2=http://a.******.com/cald/02.gif
3=http://a.******.com/cald/03.gif
4=http://a.******.com/cald/04.gif
5=http://a.******.com/cald/05.gif
6=http://a.******.com/cald/06.gif
7=http://a.******.com/cald/07.gif
hos=http://if.*******.com/test/hos.rar
UpdateMe=http://a.******.com/css.exe
tongji=http://if.*******.com/test/tongji.htm
1-7是病毒下载的木马
hos是host文件,病毒会使用该host文件代替Windows的host文件
使部分网站无法访问
update是新病毒版本的升级地址,病毒作者会更新病毒的版本
tongji是病毒作者统计病毒的感染量的
4:感染文件
病毒会运行一个记事本进程,并把自己注入到该进程中运行,
并对系统中10K-10MB的可执行文件进行感染,但此版本的病毒
不会感染网页文件,也不会通过ANI漏洞传播。
5:通过移动硬盘传播
病毒会从Z盘开始寻找,一但发现是移动磁盘的分区,就会把自己
拷贝到该分区的根目录下,并生成一个autorun.inf,使病毒自动运行。