Worm.MyInfect.al

病毒别名：麦英 ANI蠕虫 处理时间：2007-04-03 威胁级别：★★

中文名称：艾妮 病毒类型：蠕虫 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是麦英病毒的一个变种，会感染系统中的EXE文件，但不会感染网页文件，

建议用户打开病毒防火墙防止病毒的感染。

1：拷贝本体

病毒运行后会把自己拷贝到系统目录下

%SYSTEM%sysbmw.exe

2：更改注册表

病毒会在注册表中添加自启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

System Boot Check = "C:\Windows\System32\SYSBMW.exe"

并删除该键值

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe

3：下载其它病毒

病毒会启动一个IE的进程，并把自己的代码注入到IE进程里

在IE中下载列表文件上面的病毒:

列表文件如下:

[config]

Version=1.0.6

NUM=7

1=http://a.******.com/cald/01.gif

2=http://a.******.com/cald/02.gif

3=http://a.******.com/cald/03.gif

4=http://a.******.com/cald/04.gif

5=http://a.******.com/cald/05.gif

6=http://a.******.com/cald/06.gif

7=http://a.******.com/cald/07.gif

hos=http://if.*******.com/test/hos.rar

UpdateMe=http://a.******.com/css.exe

tongji=http://if.*******.com/test/tongji.htm

1-7是病毒下载的木马

hos是host文件,病毒会使用该host文件代替Windows的host文件

使部分网站无法访问

update是新病毒版本的升级地址,病毒作者会更新病毒的版本

tongji是病毒作者统计病毒的感染量的

4：感染文件

病毒会运行一个记事本进程，并把自己注入到该进程中运行，

并对系统中10K-10MB的可执行文件进行感染，但此版本的病毒

不会感染网页文件，也不会通过ANI漏洞传播。

5：通过移动硬盘传播

病毒会从Z盘开始寻找，一但发现是移动磁盘的分区，就会把自己

拷贝到该分区的根目录下，并生成一个autorun.inf，使病毒自动运行。