| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.LwyMum.h.147456

2008-08-14 23:07:22  編輯來源:互聯網  简体版  手機版  評論  字體: ||
 
  病毒名稱(中文):

  艾妮病毒147456

  病毒別名:

  艾妮木馬下載器

  

  威脅級別:

  ★★☆☆☆

  病毒類型:

  蠕蟲病毒

  病毒長度:

  147456

  影響系統:

  Win9xWinMeWinNTWin2000WinXPWin2003

  

  病毒行爲:

  這艾妮蠕蟲的一個變種。它通過感染EXE格式的文件進行傳播。當運行被感染文件時,病毒就會發作,感染更多的正常文件,並從網絡下載其它病毒運行,引起更多破壞。

  病毒行爲:

  該病毒將自身病毒行爲分3個部分,它根據接受的命令行參數來執行這3種不同行爲。

  1._sys參數行爲

  (1)修改注冊表鍵值HKEY_LOCAL_MACHINE\SOFTWARE\logogo,"Setup"=yes,感染標記

  (2)複制自身到X:\windows\system\logogogo.exe,設置屬性爲系統和隱藏;

  (3)每隔60s執行該病毒另外兩部分行爲(down,worm);

  (4)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN,

  "logogo"=x:\windows\system\logogogo.exe,設置開機自啓動。系統啓動時默認執行_sys參數行爲。

  (5)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技術將常見安全工具和殺毒軟件等劫持,當用戶運行這些安全工具和殺毒軟件時,轉而執行病毒。劫持的軟件包括:KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。

  2.down參數行爲

  (1)訪問指定地址http://x.98****.com/xin.jpg讀取文件內容,保存爲X:\WINDOWS\system\SYSTEM128.tmp,該文件內保存有病毒木馬下載地址列表。

  (2)到指定地址http://*.98****.com/下載大量其它病毒和木馬並運行,保存到X:\WINDOWS\system目錄下,使電腦毒上加毒,增加清除難度。

  3.worm參數行爲

  (1)在系統內所有盤符下釋放文件autorun.inf,xp.exe(即logogogo.exe),屬性系統隱藏;

  (2)在系統內遍曆文件,感染所有.exe文件,用戶運行這些被感染的病毒載體時,馬上重複感染,到指定地址更新木馬。

  

  感染文件
 
病毒名稱(中文): 艾妮病毒147456 病毒別名: 艾妮木馬下載器 威脅級別: ★★☆☆☆ 病毒類型: 蠕蟲病毒 病毒長度: 147456 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這艾妮蠕蟲的一個變種。它通過感染EXE格式的文件進行傳播。當運行被感染文件時,病毒就會發作,感染更多的正常文件,並從網絡下載其它病毒運行,引起更多破壞。 病毒行爲: 該病毒將自身病毒行爲分3個部分,它根據接受的命令行參數來執行這3種不同行爲。 1._sys參數行爲 (1)修改注冊表鍵值HKEY_LOCAL_MACHINE\SOFTWARE\logogo,"Setup"=yes,感染標記 (2)複制自身到X:\windows\system\logogogo.exe,設置屬性爲系統和隱藏; (3)每隔60s執行該病毒另外兩部分行爲(down,worm); (4)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, "logogo"=x:\windows\system\logogogo.exe,設置開機自啓動。系統啓動時默認執行_sys參數行爲。 (5)修改注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,利用映像劫持技術將常見安全工具和殺毒軟件等劫持,當用戶運行這些安全工具和殺毒軟件時,轉而執行病毒。劫持的軟件包括:KAVPFW.exe、KVMonXP.KXP、360Safe.exe、KVCenter.kxp、KRegEx.exe、FrogAgent.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、Kfw.exe、PFW.exe、EGHOST.EXE、TrojDie.kxp、360tray.kxp。 2.down參數行爲 (1)訪問指定地址http://x.98****.com/xin.jpg讀取文件內容,保存爲X:\WINDOWS\system\SYSTEM128.tmp,該文件內保存有病毒木馬下載地址列表。 (2)到指定地址http://*.98****.com/下載大量其它病毒和木馬並運行,保存到X:\WINDOWS\system目錄下,使電腦毒上加毒,增加清除難度。 3.worm參數行爲 (1)在系統內所有盤符下釋放文件autorun.inf,xp.exe(即logogogo.exe),屬性系統隱藏; (2)在系統內遍曆文件,感染所有.exe文件,用戶運行這些被感染的病毒載體時,馬上重複感染,到指定地址更新木馬。 感染文件
󰈣󰈤
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
王朝網路微信公眾號
微信掃碼關註本站公眾號 wangchaonetcn
 
  免責聲明:本文僅代表作者個人觀點,與王朝網絡無關。王朝網絡登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述,其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,並請自行核實相關內容。
 
© 2005- 王朝網路 版權所有