Win32/Almanahe.b

ect.exemjon mcosrv.exen mservice.exen

病毒特性:

Win32. Almanahe.B是一種通過網路共享複製的病毒。它在系統上安裝一個rootkit,下載並運行任意檔案。Win32/Almanahe.b

感染方式:

當一個被感染檔案運行時,Almanahe.B生成檔案到以下位置:
%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sysWin32/Almanahe.b
%System%\drivers\DKIS6.sys
DLL檔案被有意截取調用到一個乾淨的系統DLL檔案%System%\linkinfo.dll。當linkinfo.dll的一個API功能通過任意程式被調用時,在調用原始DLL中被請求的功能之前,Almanahe啟動很多執行緒來運行它複製的代碼。被感染檔案還會注入很多執行緒到explorer.exe程式來調用這個複製代碼。
兩個SYS檔案RioDrvs.sysDKIS6.sys是一樣的。RioDrvs.sys作為一個服務被安裝,服務的名稱為"RioDrvs",DKIS6.sys 載入到kernel memory 中,然後刪除這個檔案。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

傳播方式:

通過檔案感染進行傳播
Almanahe 感染系統中以.exe 為擴展名的檔案。Win32/Almanahe.b
它不會感染包含以下字元串的目錄中的檔案:
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\
病毒避免感染以下名稱的檔案:
.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
病毒還會感染系統中其它可利用的網路共享。
還要注意遠程機器C: 盤Windows目錄名為EXAMPLE的路徑:
\\EXAMPLE\C\WINDOWS\以上路徑不包括冒號。遠程系統的%Windows%目錄和子目錄中的檔案都將被感染。
它嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能複製到C:\Ins.exe,並作為一個服務安裝。以下是它嘗試的密碼:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
admin

危害:

下載並運行任意檔案
Almanahe.B為用戶默認的瀏覽器生成一個新程式,並將病毒代碼注入程式中,允許Win32/Almanahe.b它傳送系統信息到以下站點,並從以下站點下載檔案:
tj.imrw0rldwide.com.
soft.imrw0rldwide.com
允許它下載一個DLL檔案和其它的惡意程式。如果更新的DLL檔案是可利用的,就會保存到%Windows%\AppPatch\apphelps.dll.update。隨後被移動到%Windows%\AppPatch\apphelps.dll,替換以前的同名檔案。這個DLL中包含很多命令。
它還下載一個檔案,其中包含一個URL列表,用來獲取檔案。這些檔案使用相同的檔案名稱被保存到%Temp%目錄,隨後運行這些檔案。
這些檔案的版本信息可能記錄在:
HKLM\Software\Adobe\Version
同時下載的檔案是Lemir family病毒的一個變體。
終止進程
如果以下進程正在運行,Almanahe.B就會嘗試終止它們,並刪除與它們相關的檔案:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
其中幾個檔案名稱被其它病毒利用。
Rootkit 功能
Almanahe.Brootkit 功能顯示為隱藏檔案、註冊表鍵值和與病毒相關的程式信息。

相關搜尋

熱門詞條

聯絡我們