病毒名称(中文):
艾妮
病毒别名:
ANI漏洞蠕虫麦英
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
16384
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个Win32平台下的感染型病毒,感染本地磁盘、可移动磁盘及共享目录中的.exe文件,脚本文件,并连接网络下载其他病毒。该病毒还会不停读写软驱,弹出错误对话框,干扰电脑的正常使用,给用户造成不便。该病毒利用微软最新的ANI漏洞、邮件、移动磁盘及网络共享目录传播自身,由于该漏洞微软目前还没有发布相应补丁,危害极大。
作者在病毒体内留下如下字样"IwillbyoneBMWthisyear!"
1、释放病毒文件到如下路径:
%SYSTEM%\sysload3.exe
2、修改注册表,添加如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"SystemBootCheck"="C:\WINDOWS\system32\sysload3.exe"
尝试删除如下键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
3、起IE进程,注入病毒代码,连接网络下载病毒配置文件
配置文件:http://a.2007**.com/css.css,内容如下
[config]
Version=1.0.6
NUM=7
1=http://a.2007ip.com/cald/01.gif
2=http://a.2007ip.com/cald/02.gif
3=http://a.2007ip.com/cald/03.gif
4=http://a.2007ip.com/cald/04.gif
5=http://a.2007ip.com/cald/05.gif
6=http://a.2007ip.com/cald/06.gif
7=http://a.2007ip.com/cald/07.gif
hos=http://if.iloveck.com/test/hos.rar
UpdateMe=http://a.2007ip.com/css.exe
tongji=http://if.iloveck.com/test/tongji.htm
HomePage=http://www.5yip.com/?cj
MAIL_USER=i_love_cq
MAIL_PASS=654321
SMTP_SERVER=smtp.sohu.com
4、读取配置文件下载病毒。
5、读取配置文件,当发现病毒新版本时,下载更新。
6、发送邮件传播自身:
主题:你和谁视频的时候被拍下的?给你笑死了!
内容:看你那小样!我看你是出名了!
你看这个地址!你的脸拍的那么清楚!你变明星了!
7、起NOTEPAD进程,便利本地磁盘,网络共享目录,感染大小在10K---10M之间的.exe文件,感染扩展名为.ASP、.JSP、PHP、HTM、ASPX、HTML的脚本文件。
8、由于病毒编写的问题,会不停的读写A盘(软驱),弹出出错对话框,干扰电脑的正常使用,给用户带来不便。
9、修改host文件,屏蔽如下网站:
127.0.0.1localhost
127.0.0.1mmm.caifu18.net
127.0.0.1www.18dmm.com
127.0.0.1d.qbbd.com
127.0.0.1www.5117music.com
127.0.0.1www.union123.com
127.0.0.1www.wu7x.cn
127.0.0.1www.54699.com
127.0.0.160.169.0.66
127.0.0.160.169.1.29
127.0.0.1www.97725.com
127.0.0.1down.97725.com
127.0.0.1ip.315hack.com
127.0.0.1ip.54liumang.com
127.0.0.1www.41ip.com
127.0.0.1xulao.com
127.0.0.1www.heixiou.com
127.0.0.1www.9cyy.com
127.0.0.1www.hunll.com
127.0.0.1www.down.hunll.com
127.0.0.1do.77276.com
127.0.0.1www.baidulink.com
127.0.0.1adnx.yygou.cn
127.0.0.1222.73.220.45
127.0.0.1www.f5game.com
127.0.0.1www.guazhan.cn
127.0.0.1wm,103715.com
127.0.0.1www.my6688.cn
127.0.0.1i.96981.com
127.0.0.1d.77276.com
127.0.0.1www1.cw988.cn
127.0.0.1cool.47555.com
127.0.0.1www.asdwc.com
127.0.0.155880.cn
10、检测软驱,若存在则复制病毒文件到其中文件名为tool.exe,并生成autorun.inf文件,使病毒可以自动运行,以传播自身。
11、利用微软最新ANI漏洞传播自身。
12、病毒体内有作者留下的如下字样"IwillbyoneBMWthisyear!"