病毒特點:
1.更強的感染能力
該病毒會感染所有體積從40k到4M之間的.exe檔案,針對這些體積小的檔案進行感染有一個好處,就是能儘可能的捕獲那些小巧的綠色型應用程式,利用這些小程式受人們喜歡、經常得到傳播的優點,病毒可以實現更快的擴散。
2.在各磁碟分區生成自動運行的病毒檔案
“艾妮”會在各磁碟分區的根目錄下生成auto病毒檔案ntldr.exe;和對應的autorun.inf,只要用戶在中毒電腦上使用隨身碟等移動存儲設備,“艾妮”就可以傳染到這些設備上。
注意:將病毒生成的NTLDR.EXE是Windows引導檔案NTLDR區分開,後者沒有擴展名,只存在於C糟根目錄,是windows啟動時的引導檔案,NTLDR丟失,將會造成系統不可啟動。
3.劫持安全軟體,同時黑吃黑劫持其它病毒
使用映像劫持對抗安全軟體的病毒很多,這個艾妮除劫持主流安全軟體之外,還會把很多病毒的程式也劫持掉,達到獨占系統資源的目的。
詳細分析作案流程:
1.複製自身到%windir%\fonts\system\ati2evxx.exe並運行
2.創建自啟動載入項
在”SoftWare\Microsoft\Windows\CurrentVersion\Run”下,創建
”TBMonEx”;字串,指向病毒程式c:\windows\fonts\system\ati2evxx.exe,實現開機自動載入。
3.創建安裝信息
添加[HKEY_LOCAL_MACHINE\SOFTWARE\LOGOGO]
”setup”=”yes”;
4.劫持主流安全軟體和部分流行病毒
”SOFTWARE\Microsoft\Windows;NT\CurrentVersion\Image;File;Execution;Options\”;下創建
logo1_.exe;navapw32.exe;navapsvc.exe;nmain.exe;navw32.exe;kvfw.exe;KAVSvcUI.exe
KAVpfw.exe;KAV32.exe;KvXP.kxp;KVSrvXP.exe;KVMonXP.kxp;kvwsc.exe;KAVsvc.exe
KWatchUI.EXE;360Safe.exe;360rpt.exe;修復工具.exe;RAVmonD.exe;RAVmon.exe
ravtimer.exe;rising.exe;rav.exe;RavMon.exe;Ravtimer.exe;Iparmor.exe;TrojanHunter.exe
THGUARD.EXE;PFW.EXE;EGHOST.EXE;MAILMON.EXE;ZONEALARM.EXE;WFINDV32.EXE
360tray.exe;webscanx.exe;VSSTAT.EXE;VSHWIN32.EXE;VSECOMR.EXE;VSCAN40.EXE
vettray.exe;VET95.EXE;TDS2-NT.EXE;TDS2-98.EXE;TCA.EXE;TBSCAN.EXE
SWEEP95.EXE;SPHINX.EXE;SMC.EXE;SERV95.EXE;SCRSCAN.EXE;SCANPM.EXE
SCAN95.EXE;SCAN32.EXE;SAFEWEB.EXE;FESCUE.EXE;RAV7WIN.EXE;RAV7.EXE
persfw.exe;PCFWALLICON.EXE;PCCWIN98.EXE;PAVW.EXE;PAVSCHED.EXE
PAVCL.EXE;NVC95.EXE;NUPGRADE.EXE;NORMIST.EXE
NMAIN.EXE;nisum.exe;NAVWNT.EXE;NAVW32.EXE;NAVNT.EXE;NAVLU32.EXE
NAVAPW32.EXE;N32SCANW.EXE;mpftray.exe;MOOLIVE.EXE;LUALL.EXE
LOOKOUT.EXE;LOCKDOWN2000.EXE;JEDI.EXE;IOMON98.EXE;IFACE.EXE
ICSUPPNT.EXE;ICSUPP95.EXE;ICMON.EXE;ICLOADNT.EXE;ICLOAD95.EXE
IBMAVSP.EXE;IBMASN.EXE;IAMSERV.EXE;IAMAPP.EXE;FRW.EXE;FPROT.EXE
FP-WIN.EXE;FINDVIRU.EXE;F-STOPW.EXE;F-PROT95.EXE;F-PROT.EXE;F-AGNT95.EXE
EXPWATCH.EXE;ESAFE.EXE;ECENGINE.EXE;DVP95_0.EXE;DVP95.EXE;CLEANER3.EXE
CLEANER.EXE;CLAW95CF.EXE;CLAW95.EXE;CFINET32.EXE;CFINET.EXE;CFIAUDIT.EXE
CFIADMIN.EXE;BLACKICE.EXE;blackd.exe;AVWUPD32.EXE;AVWIN95.EXE
avsched32.exe;AVPUPD.EXE.AVPTC32.EXE;avpm.exe;AVPDOS32.EXE;avpcc.exe
AVP32.EXE;AVP.EXE;AVNT.EXE;AVKSERV.EXE;AVGCTRL.EXE;AVE32.EXE
AVCONSOL.EXE;AUTODOWN.EXE;apvxdwin.exe;ANTI-TROJAN.EXE;ACKWIN32.EXE
_AVPM.EXE;_AVPCC.EXE;_AVP32.EXE;PFW.exe;KAVsvcUI.exe;rising.exe;rav.exe;KVsrvXP.exe;KVMonXP.exe
5.感染部分40KB-4MB之間的EXE檔案
6.從特定地址讀取下載列表,下載大量木馬
7.獲取染毒機器的mac 、pcname、當前病毒的版本號,md5等信息至遠程伺服器,該信息可能供木馬傳播者統計感染量或其它用途。
8.當在非%windir%\fonts\system\和驅動器下運行病毒母體後,病毒會在當前目錄創建一個當前檔案名稱的.bat刪除自身。給人的感覺就是執行了某程式後,這個程式檔案閃一下,就消失了。
解決辦法:
手工清除
因該病毒是感染型病毒,可能感染大量EXE檔案,手工徹底修復有一定難度。
手工查殺病毒的用戶來說,清除“艾妮”可按一下步驟進行操作:
1、我們首先要找到“艾妮”隱藏在%WINDOWS%\fonts\system\目錄下的主檔案ati2evxx.exe ,結束它已啟動的進程,並刪除檔案。(可以使用金山清理專家的進程管理器和檔案粉碎器來完成)
2、接著,清除每一個磁碟分區根目錄下的ntldr.exe 和autorun.inf。(注意,不要把C糟根目錄下的NTLDR檔案誤刪除,一旦刪除,你的系統就無法啟動了)
3、清理註冊表的RUN 鍵值和鏡象劫持,修復感染檔案。(可以使用清理專家修復殘留載入項,百寶箱中的系統修復外掛程式可以修復映像劫持)
4、重啟計算機後,運行金山毒霸修復所有被感染的檔案。
自動防毒:
1、未中毒的用戶請升級毒霸和清理專家到最新版本,即可實現有效防禦
2、已中毒的用戶請下載艾妮專殺,該工具於4月24日測試通過。從以下地址下載
http://www.duba.net/zhuansha/259.shtml
本次升級新增了對AV終結者最新變種z和艾妮病毒(Win32.LwyMum.h)的清除。
檔案名稱:DubaTool_AV_Killer.COM
檔案大小:1,747,968 byte
檔案版本:6.9
MD5值:8B3F682198440505A41FBEBDAD3F20D0
