Win32.LwyMum.h.147456

2008-08-14 23:07:22  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名稱(中文):

　　艾妮病毒147456

　　病毒別名:

　　艾妮木馬下載器

　　

　　威脅級別:

　　★★☆☆☆

　　病毒類型:

　　蠕蟲病毒

　　病毒長度:

　　147456

　　影響系統:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行爲:

　　這艾妮蠕蟲的一個變種。它通過感染EXE格式的文件進行傳播。當運行被感染文件時，病毒就會發作，感染更多的正常文件，並從網絡下載其它病毒運行，引起更多破壞。

　　病毒行爲：

　　該病毒將自身病毒行爲分3個部分，它根據接受的命令行參數來執行這3種不同行爲。

　　1._sys參數行爲

　　(1)修改注冊表鍵值HKEY_LOCAL_MACHINE\SOFTWARE\logogo，"Setup"=yes，感染標記

　　(2)複制自身到X:\windows\system\logogogo.exe,設置屬性爲系統和隱藏；

　　(3)每隔60s執行該病毒另外兩部分行爲(down,worm);

　　(4)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,

　　"logogo"=x:\windows\system\logogogo.exe,設置開機自啓動。系統啓動時默認執行_sys參數行爲。

　　(5)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技術將常見安全工具和殺毒軟件等劫持，當用戶運行這些安全工具和殺毒軟件時，轉而執行病毒。劫持的軟件包括：KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。

　　2.down參數行爲

　　(1)訪問指定地址http://x.98****.com/xin.jpg讀取文件內容，保存爲X:\WINDOWS\system\SYSTEM128.tmp，該文件內保存有病毒木馬下載地址列表。

　　(2)到指定地址http://*.98****.com/下載大量其它病毒和木馬並運行，保存到X:\WINDOWS\system目錄下，使電腦毒上加毒，增加清除難度。

　　3.worm參數行爲

　　(1)在系統內所有盤符下釋放文件autorun.inf，xp.exe(即logogogo.exe)，屬性系統隱藏；

　　(2)在系統內遍曆文件，感染所有.exe文件，用戶運行這些被感染的病毒載體時，馬上重複感染，到指定地址更新木馬。

　　

　　感染文件

 

病毒名稱(中文): 艾妮病毒147456 病毒別名: 艾妮木馬下載器 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 147456 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這艾妮蠕蟲的一個變種。它通過感染EXE格式的文件進行傳播。當運行被感染文件時，病毒就會發作，感染更多的正常文件，並從網絡下載其它病毒運行，引起更多破壞。 病毒行爲： 該病毒將自身病毒行爲分3個部分，它根據接受的命令行參數來執行這3種不同行爲。 1._sys參數行爲 (1)修改注冊表鍵值HKEY_LOCAL_MACHINE\SOFTWARE\logogo，"Setup"=yes，感染標記 (2)複制自身到X:\windows\system\logogogo.exe,設置屬性爲系統和隱藏； (3)每隔60s執行該病毒另外兩部分行爲(down,worm); (4)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, "logogo"=x:\windows\system\logogogo.exe,設置開機自啓動。系統啓動時默認執行_sys參數行爲。 (5)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技術將常見安全工具和殺毒軟件等劫持，當用戶運行這些安全工具和殺毒軟件時，轉而執行病毒。劫持的軟件包括：KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。 2.down參數行爲 (1)訪問指定地址http://x.98****.com/xin.jpg讀取文件內容，保存爲X:\WINDOWS\system\SYSTEM128.tmp，該文件內保存有病毒木馬下載地址列表。 (2)到指定地址http://*.98****.com/下載大量其它病毒和木馬並運行，保存到X:\WINDOWS\system目錄下，使電腦毒上加毒，增加清除難度。 3.worm參數行爲 (1)在系統內所有盤符下釋放文件autorun.inf，xp.exe(即logogogo.exe)，屬性系統隱藏； (2)在系統內遍曆文件，感染所有.exe文件，用戶運行這些被感染的病毒載體時，馬上重複感染，到指定地址更新木馬。 感染文件