病毒名称(中文):
阿泥哥
病毒别名:
Worm.Win32.Anig.e[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
52224
影响系统:
WinNT
病毒行为:
这是一个蠕虫病毒,与此病毒相关的是一个DLL文件ntgina.dll,病毒首先将自身以及当前目录下的DLL文件ntgina.dll复制到系统目录%system%,然后将系统目录中的副本加载到注册表的启动项,并将该副本创建为自启动服务。通过修改注册表,使得在用户登陆系统之前加载DLL文件ntgina.dll,从而盗取用户的登陆密码。病毒还可以通过弱密码攻击远程系统进行主动传播,假如连接远程主机成功,则将自身复制到目标主机的目录:\ADMIN$\SYSTEM32\,然后连接远程主机的注册表并将病毒加载到注册表的启动项。病毒连接ICQ网址的端口5190发送上线通知,然后打开后门端口5190,利用ICQ软件进行远程控制或者传播。
1.将自身复制到%system%目录,并尝试将当前目录下的DLL文件ntgina.dll复制并替换we%system%\ntgina.dll.
2.修改注册表。
将自身在系统目录的副本添加为自启动服务dfcsvc:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc
"Type"=dword:00000110
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="<病毒文件名>/dfcsvc"
"DisplayName"="DistributedFileController"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc\Security
"Security"="<系统相关>"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dfcsvc\Enum
"0"="Root\\LEGACY_DFCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DFCSVC
"NextInstance"=dword:00000001
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DFCSVC\0000
"Service"="dfcsvc"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="DistributedFileController"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DFCSVC\0000\Control
"*NewlyCreated*"=dword:00000000
"ActiveService"="dfcsvc"
将自身加载到启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Osa32"="<病毒原始文件名>"
添加与登陆相关的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Ram32Data"="AMBIILKKEBMCFLLCNBMDICAFNBFCBLFK"
"Ram32ID"="<随机字符串>"
"Ram32Group"="UNK"
"GinaDll"="ntgina.dll"
3.通过修改"GinaDll"注册表键值,使得用户登陆之前加载病毒的DLL文件,假如该文件存在就可以盗取用户的登陆密码。
4.病毒还可以通过弱密码攻击远程系统进行主动传播,假如连接成功,则将自身复制到目标主机的目录:\ADMIN$\SYSTEM32\,然后连接远程主机的注册表并将病毒加载到注册表的启动项。
5.病毒连接ICQ网址的端口5190发送上线通知,然后打开后门端口5190,利用ICQ软件进行远程控制或者传播。