Win32.LwyMum.h.147456

2008-08-14 23:07:22  編輯來源:互聯網  简体版  手機版  評論  字體: 小|中|大

 

　　病毒名称(中文):

　　艾妮病毒147456

　　病毒别名:

　　艾妮木马下载器

　　

　　威胁级别:

　　★★☆☆☆

　　病毒类型:

　　蠕虫病毒

　　病毒长度:

　　147456

　　影响系统:

　　Win9xWinMeWinNTWin2000WinXPWin2003

　　

　　病毒行为:

　　这艾妮蠕虫的一个变种。它通过感染EXE格式的文件进行传播。当运行被感染文件时，病毒就会发作，感染更多的正常文件，并从网络下载其它病毒运行，引起更多破坏。

　　病毒行为：

　　该病毒将自身病毒行为分3个部分，它根据接受的命令行参数来执行这3种不同行为。

　　1._sys参数行为

　　(1)修改注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\logogo，"Setup"=yes，感染标记

　　(2)复制自身到X:\windows\system\logogogo.exe,设置属性为系统和隐藏；

　　(3)每隔60s执行该病毒另外两部分行为(down,worm);

　　(4)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,

　　"logogo"=x:\windows\system\logogogo.exe,设置开机自启动。系统启动时默认执行_sys参数行为。

　　(5)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技术将常见安全工具和杀毒软件等劫持，当用户运行这些安全工具和杀毒软件时，转而执行病毒。劫持的软件包括：KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。

　　2.down参数行为

　　(1)访问指定地址http://x.98****.com/xin.jpg读取文件内容，保存为X:\WINDOWS\system\SYSTEM128.tmp，该文件内保存有病毒木马下载地址列表。

　　(2)到指定地址http://*.98****.com/下载大量其它病毒和木马并运行，保存到X:\WINDOWS\system目录下，使电脑毒上加毒，增加清除难度。

　　3.worm参数行为

　　(1)在系统内所有盘符下释放文件autorun.inf，xp.exe(即logogogo.exe)，属性系统隐藏；

　　(2)在系统内遍历文件，感染所有.exe文件，用户运行这些被感染的病毒载体时，马上重复感染，到指定地址更新木马。

　　

　　感染文件

 

 

 

病毒名称(中文): 艾妮病毒147456 病毒别名: 艾妮木马下载器 威胁级别: ★★☆☆☆ 病毒类型: 蠕虫病毒 病毒长度: 147456 影响系统: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行为: 这艾妮蠕虫的一个变种。它通过感染EXE格式的文件进行传播。当运行被感染文件时，病毒就会发作，感染更多的正常文件，并从网络下载其它病毒运行，引起更多破坏。 病毒行为： 该病毒将自身病毒行为分3个部分，它根据接受的命令行参数来执行这3种不同行为。 1._sys参数行为 (1)修改注册表键值HKEY_LOCAL_MACHINE\SOFTWARE\logogo，"Setup"=yes，感染标记 (2)复制自身到X:\windows\system\logogogo.exe,设置属性为系统和隐藏； (3)每隔60s执行该病毒另外两部分行为(down,worm); (4)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, "logogo"=x:\windows\system\logogogo.exe,设置开机自启动。系统启动时默认执行_sys参数行为。 (5)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技术将常见安全工具和杀毒软件等劫持，当用户运行这些安全工具和杀毒软件时，转而执行病毒。劫持的软件包括：KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。 2.down参数行为 (1)访问指定地址http://x.98****.com/xin.jpg读取文件内容，保存为X:\WINDOWS\system\SYSTEM128.tmp，该文件内保存有病毒木马下载地址列表。 (2)到指定地址http://*.98****.com/下载大量其它病毒和木马并运行，保存到X:\WINDOWS\system目录下，使电脑毒上加毒，增加清除难度。 3.worm参数行为 (1)在系统内所有盘符下释放文件autorun.inf，xp.exe(即logogogo.exe)，属性系统隐藏； (2)在系统内遍历文件，感染所有.exe文件，用户运行这些被感染的病毒载体时，马上重复感染，到指定地址更新木马。 感染文件