病毒名称(中文):
麦英
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
12288
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是"麦英"病毒的变种,该版本的变种与以前的变种变化较大。
1:释放文件
病毒运行后,会释放一个文件:
C:\\ProgramFiles\\CommonFiles\\MicrosoftShared\\WebFolders\\MSOSVEXT.EXE(Worm.MyInfect.as.13312)
并拷贝自己到以下目录
C:\\ProgramFiles\\CommonFiles\\MicrosoftShared\\WebFolders\\MSOSV.EXE
2:自启动
病毒会在服务里面添加一个名为"TCP/IPService"的服务,并指向病毒体(MSOSV.exe),
使自己能自启动,而老版本的病毒则是通过注册表启动项实现自启动。
3:注入进程
病毒会把Windows的记事本文件(notepad.exe,system32下)拷贝到Windows目录下,并
命名为svchost.exe后运行,之后启动IE进程,并向该两个进程里面注入代码,实现以下目的
a:IE进程
病毒下载http://temp.*******.com/table.gif(文件经过加密)并下载里面的内容
[config]
package=http://temp.*******.com/boot/table.gif
UpdateMe=http://temp.*******.com/boot/table.exe
hos=http://temp.*******.com/boot/imageh.gif
tongji=http://temp.*******.com/boot/long.htm
package是病毒下载器,下载其它木马
UpdateMe是病毒体的自更新
hos为host文件,替换用户系统的host文件
tongji是作者的感染数量统计
b:svchost.exe进程
病毒会枚举A-Z的分区,枚举出移动硬盘与网络共享分区,
并把自己拷贝到该分区的根目录下,命名为game.exe,
生成对应的autorun.inf,通过U盘与网络共享传播自己。