Win32.LwyMum.h.147456

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

艾妮病毒147456

病毒别名:

艾妮木马下载器

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

147456

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这艾妮蠕虫的一个变种。它通过感染EXE格式的文件进行传播。当运行被感染文件时,病毒就会发作,感染更多的正常文件,并从网络下载其它病毒运行,引起更多破坏。

病毒行为:

该病毒将自身病毒行为分3个部分,它根据接受的命令行参数来执行这3种不同行为。

1._sys参数行为

(1)修改注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\logogo,"Setup"=yes,感染标记

(2)复制自身到X:\windows\system\logogogo.exe,设置属性为系统和隐藏;

(3)每隔60s执行该病毒另外两部分行为(down,worm);

(4)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,

"logogo"=x:\windows\system\logogogo.exe,设置开机自启动。系统启动时默认执行_sys参数行为。

(5)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技术将常见安全工具和杀毒软件等劫持,当用户运行这些安全工具和杀毒软件时,转而执行病毒。劫持的软件包括:KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。

2.down参数行为

(1)访问指定地址http://x.98****.com/xin.jpg读取文件内容,保存为X:\WINDOWS\system\SYSTEM128.tmp,该文件内保存有病毒木马下载地址列表。

(2)到指定地址http://*.98****.com/下载大量其它病毒和木马并运行,保存到X:\WINDOWS\system目录下,使电脑毒上加毒,增加清除难度。

3.worm参数行为

(1)在系统内所有盘符下释放文件autorun.inf,xp.exe(即logogogo.exe),属性系统隐藏;

(2)在系统内遍历文件,感染所有.exe文件,用户运行这些被感染的病毒载体时,马上重复感染,到指定地址更新木马。

感染文件

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航