Trojan.Alemod.B

病毒名称:

Trojan.Alemod.B

类别： 木马病毒

病毒资料：

光华反病毒研究中心近日进行病毒特征码更新，请用户尽快到光华网站www.viruschina.com下载升级包，以下是几个重要病毒的简介：

一、木马病毒：Trojan.Alemod.B 危害级别：★★★★☆

根据光华反病毒研究中心专家介绍，这是一个木马病毒，感染 windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它注入 oleext32.dll 文件记录用户Web访问，修改桌面设置，从网上下载执行文件，当收到、打开此病毒后，有以下现象:

A 创建以下文件：

系统目录 oleext.dll，System32\oleext32.dll和intell321.exe

Window目录 warnhp.Html uninstDsk.exe

用户目录 Application Data\Microsoft\Internet Explorer\Desktop.htt

B 创建注册表项HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

C 添加注册表项"intell321.exe" = "％System％\intell321.exe到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

使得病毒每次开机后执行获取控制权

D 添加注册表项"BackupWallpaper" = "％SystemRoot％\web\wallpaper\Bliss.bmp"到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General

E 增加注册表项"DisplayName" = "Desktop Uninstall" 和

"UninstallString" = "uninstDsk.exe"到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Desktop Uninstall

F 删除注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Intel system tool和

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AntivirusGold

G 复制系统目录的wininet.dll 文件为oleext32.dll ，注入病毒到oleext32.dll

H 改变壁纸为(图一)

I 在通知区域显示(图二)

J 从地址 http://download.alfacleaner.com/setu 下载并执行文件(被证实为病毒 Downloader.Harnig)

K 修改windows目录下的文件WININIT.INI中 "rename"的内容

二 木马病毒 W32.Beagle.EB 危害级别：★☆☆☆☆

根据光华反病毒研究中心专家介绍，W32.Maniccum 是一个木马病毒，该病毒长度 135,684 字节，感染 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 系统，它收集邮件地址发往指定地址，然后删除自身，当收到、打开此病毒后，有以下现象:

A 收集硬盘中以下扩展名的文件中邮件地址

.wab

.txt

.msg

.htm

.shtm

.stm

.XML

.dbx

.mbx

. mdx

.eml

.nch

.mmf

.ods

.cfg

.ASP

.PHP

.pl

.wsh

.adb

.tbb

.sht

.xls

.oft

.uin

.cgi

.mht

.dhtm

.jsp

B 排除含有以下内容的邮件地址

rating@

f-secur

news

update

anyone@

bugs@

contract@

feste

gold-certs@

help@

info@

nobody@

noone@

kasp

admin

icrosoft

support

ntivi

unix

bsd

Linux

listserv

certific

sopho

@foo

@iana

free-av

@messagelab

WinZip

Google

WinRAR

samples

abuse

panda

cafee

spam

pgp

@avp.

noreply

local

root@

postmaster@

C 将收集到的地址发送到

http://www.gabyphoto.com/pages/out

D 增加注册表项"FirstRun4545" = "1"到

HKEY_CURRENT_USER\Software\FirstRun

E 删除病毒自身

北京日月光华软件公司网站（http://www.viruschina.com）每日进行病毒特征码更新，光华反病毒研究中心专家提醒您：请尽快到光华安全网站在线订购光华反病毒软件来防范病毒的入侵，时刻保护您的电脑安全。光华反病毒软件用户升级到4月17日的病毒库(免费下载地址为：http://www.viruschina.com/html/update.asp)就可以完全查杀这些病毒。

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2006-4-17