Win32/Almanahe.b

病毒特性：

Win32. Almanahe.B是一种通过网络共享复制的病毒。它在系统上安装一个rootkit，下载并运行任意文件。

感染方式：

当一个被感染文件运行时，Almanahe.B生成文件到以下位置：

%Windows%linkinfo.dll

%System%driversRioDrvs.sys

%System%driversDKIS6.sys

DLL文件被有意截取调用到一个干净的系统DLL文件%System%linkinfo.dll。当linkinfo.dll的一个API功能通过任意程序被调用时，在调用原始DLL中被请求的功能之前，Almanahe启动很多线程来运行它复制的代码。被感染文件还会注入很多线程到explorer.exe程序来调用这个复制代码。

两个SYS文件RioDrvs.sys 和 DKIS6.sys是一样的。RioDrvs.sys作为一个服务被安装，服务的名称为"RioDrvs"，DKIS6.sys 加载到kernel memory 中，然后删除这个文件。

注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:WinntSystem32； 95，98 和 ME 的是C:WindowsSystem； XP 的是C:WindowsSystem32。

传播方式:

通过文件感染进行传播

Almanahe 感染系统中以.exe 为扩展名的文件。

它不会感染包含以下字符串的目录中的文件：

QQ

:WINNT

:WINDOWS

LOCAL SETTINGSTEMP

病毒避免感染以下名称的文件：

.exe

asktao.exe

au_unins_web.exe

audition.exe

autoupdate.exe

ca.exe

cabal.exe

cabalmain.exe

cabalmain9x.exe

config.exe

dbfsupdate.exe

dk2.exe

dragonraja.exe

flyff.exe

game.exe

gc.exe

hs.exe

kartrider.exe

main.exe

maplestory.exe

meteor.exe

mhclient-connect.exe

mjonline.exe

mts.exe

nbt-dragonraja2006.exe

neuz.exe

nmcosrv.exe

nmservice.exe

nsstarter.exe

patcher.exe

patchupdate.exe

sealspeed.exe

trojankiller.exe

userpic.exe

wb-service.exe

woool.exe

wooolcfg.exe

xlqy2.exe

xy2.exe

xy2player.exe

zfs.exe

zhengtu.exe

ztconfig.exe

zuonline.exe

病毒还会感染系统中其它可利用的网络共享。

还要注意远程机器C: 盘Windows目录名为EXAMPLE的路径：

\EXAMPLECWINDOWS

以上路径不包括冒号。远程系统的%Windows%目录和子目录中的文件都将被感染。

它尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到C:Ins.exe，并作为一个服务安装。以下是它尝试的密码：

zxcv

qazwsx

qaz

qwer

!@#$%^&*()

!@#$%^&*(

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

654321

123456

12345

1234

123

111

admin

危害：

下载并运行任意文件

Almanahe.B为用户默认的浏览器生成一个新程序，并将病毒代码注入程序中，允许它发送系统信息到以下站点，并从以下站点下载文件：

tj.imrw0rldwide.com.

soft.imrw0rldwide.com

允许它下载一个DLL文件和其它的恶意程序。如果更新的DLL文件是可利用的，就会保存到%Windows%AppPatchapphelps.dll.update。随后被移动到%Windows%AppPatchapphelps.dll，替换以前的同名文件。这个DLL中包含很多命令。

它还下载一个文件，其中包含一个URL列表，用来获取文件。这些文件使用相同的文件名被保存到%Temp%目录，随后运行这些文件。

这些文件的版本信息可能记录在：

HKLMSoftwareAdobeVersion

同时下载的文件是Lemir family病毒的一个变体。

终止进程

如果以下进程正在运行，Almanahe.B就会尝试终止它们，并删除与它们相关的文件：

c0nime.exe

cmdbcs.exe

ctmontv.exe

explorer.exe

fuckjacks.exe

iexpl0re.exe

iexplore.exe

internat.exe

logo1_.exe

logo_1.exe

lsass.exe

lying.exe

msdccrt.exe

msvce32.exe

ncscv32.exe

nvscv32.exe

realschd.exe

rpcs.exe

run1132.exe

rundl132.exe

smss.exe

spo0lsv.exe

spoclsv.exe

ssopure.exe

svch0st.exe

svhost32.exe

sxs.exe

sysbmw.exe

sysload3.exe

tempicon.exe

upxdnd.exe

wdfmgr32.exe

wsvbs.exe

其中几个文件名被其它病毒利用。

Rootkit 功能

Almanahe.B的 rootkit 功能显示为隐藏文件、注册表键值和与病毒相关的程序信息。

• ·雪鉴
• ·美国合同法
• ·耳房
• ·豺人
• ·比捷
• ·老挑
• ·连兴江
• ·双重幻想
• ·连少卿
• ·连伶淑