Worm.MyInfect.an - 王朝网络宽屏版

病毒名称(中文):

艾妮

病毒别名:

麦英ANI蠕虫

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

9278

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是MyInfect病毒的一个新变种

1:拷贝自己

病毒会把自己拷贝自己到以下目录中(固定路径):

C:\\ProgramFiles\\CommonFiles\\System\\driectdb.exe

C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe(Worm.MyInfect.an.5512)

并为driectdb.exe文件加入了隐藏属性,文件时间改为与notepad.exe时间相同.

2:更改注册表

病毒会在注册表的自启动项中添加一项,使自己能随Windows启动.

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

EXPLORER="C:\\ProgramFiles\\CommonFiles\\System\\wab32res.exe"

尝试删除此键:

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

internat.exe

3:注入进程

病毒会把自己分别注入到两个进程中

notepad.exe与iexplorer.exe中,负责感染文件与下载病毒之用

4:下载文件

被病毒注入的iexplorer.exe进程会下载http://w1.******.com/baner.gif文件到

C:\\ProgramFiles\\CommonFiles\\System\\avp.ini,并能此文件进行解密,

解密后如下:

[config]

Version=2.0.1

NUM=7

1=http://w1.******.com/images/image1.gif

2=http://w1.******.com/images/image2.gif

3=http://w1.******.com/images/image3.gif

4=http://w1.******.com/images/image4.gif

5=http://w1.******.com/images/image5.gif

6=http://w1.******.com/images/image6.gif

7=http://w1.******.com/images/image7.gif

hos=http://w1.******.com/images/image8.gif

UpdateMe=http://w1.******.com/9g.exe

tongji=http://w1.******.com/love.htm

image1.gif到image7.gif是盗号木马病毒,它能使用户的游戏帐号丢失

hos是host文件,内容如下:

127.0.0.1localhost

127.0.0.1mmm.caifu18.net

127.0.0.1www.18dmm.com

127.0.0.1d.qbbd.com

127.0.0.1www.5117music.com

127.0.0.1www.union123.com

127.0.0.1www.wu7x.cn

127.0.0.1www.54699.com

127.0.0.160.169.0.66

127.0.0.160.169.1.29

127.0.0.1www.97725.com

127.0.0.1down.97725.com

127.0.0.1ip.315hack.com

127.0.0.1ip.54liumang.com

127.0.0.1www.41ip.com

127.0.0.1xulao.com

127.0.0.1www.heixiou.com

127.0.0.1www.9cyy.com

127.0.0.1www.hunll.com

127.0.0.1www.down.hunll.com

127.0.0.1do.77276.com

127.0.0.1www.baidulink.com

127.0.0.1adnx.yygou.cn

127.0.0.1222.73.220.45

127.0.0.1www.f5game.com

127.0.0.1www.guazhan.cn

127.0.0.1wm,103715.com

127.0.0.1www.my6688.cn

127.0.0.1i.96981.com

127.0.0.1d.77276.com

127.0.0.1www1.cw988.cn

127.0.0.1cool.47555.com

127.0.0.1www.asdwc.com

127.0.0.155880.cn

127.0.0.161.152.169.234

127.0.0.1cc.wzxqy.com

127.0.0.1www.54699.com

它能使上面的网站不能访问

UpdateMe是病毒的自更新文件,以躲避杀毒软件对病毒的查杀

tongji是病毒作者的统计数量计数器

5:感染文件

病毒会感染系统中.exe扩展名的文件,感染方式为叠加感染.

6:生成autorun.ini

病毒会把自己拷贝到移动磁盘的分区根目录下,

命名为tool.exe,并生成相应的autorun.inf文件,

通过移动磁盘传播自己.并尝试向A盘写aurorun.inf,

系统会提示用户把软件插入A磁盘驱动器里.