病毒特性:
Win32. Almanahe.B是一種通過網路共享複製的病毒。它在系統上安裝一個rootkit,下載並運行任意檔案。感染方式:
當一個被感染檔案運行時,Almanahe.B生成檔案到以下位置:%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys
DLL檔案被有意截取調用到一個乾淨的系統DLL檔案%System%\linkinfo.dll。當linkinfo.dll的一個API功能通過任意程式被調用時,在調用原始DLL中被請求的功能之前,Almanahe啟動很多執行緒來運行它複製的代碼。被感染檔案還會注入很多執行緒到explorer.exe程式來調用這個複製代碼。
兩個SYS檔案RioDrvs.sys和 DKIS6.sys是一樣的。RioDrvs.sys作為一個服務被安裝,服務的名稱為"RioDrvs",DKIS6.sys 載入到kernel memory 中,然後刪除這個檔案。
註:'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
傳播方式:
通過檔案感染進行傳播Almanahe 感染系統中以.exe 為擴展名的檔案。
它不會感染包含以下字元串的目錄中的檔案:
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\
病毒避免感染以下名稱的檔案:
.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
病毒還會感染系統中其它可利用的網路共享。
還要注意遠程機器C: 盤Windows目錄名為EXAMPLE的路徑:
\\EXAMPLE\C\WINDOWS\以上路徑不包括冒號。遠程系統的%Windows%目錄和子目錄中的檔案都將被感染。
它嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能複製到C:\Ins.exe,並作為一個服務安裝。以下是它嘗試的密碼:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
admin
危害:
下載並運行任意檔案Almanahe.B為用戶默認的瀏覽器生成一個新程式,並將病毒代碼注入程式中,允許它傳送系統信息到以下站點,並從以下站點下載檔案:
tj.imrw0rldwide.com.
soft.imrw0rldwide.com
允許它下載一個DLL檔案和其它的惡意程式。如果更新的DLL檔案是可利用的,就會保存到%Windows%\AppPatch\apphelps.dll.update。隨後被移動到%Windows%\AppPatch\apphelps.dll,替換以前的同名檔案。這個DLL中包含很多命令。
它還下載一個檔案,其中包含一個URL列表,用來獲取檔案。這些檔案使用相同的檔案名稱被保存到%Temp%目錄,隨後運行這些檔案。
這些檔案的版本信息可能記錄在:
HKLM\Software\Adobe\Version
同時下載的檔案是Lemir family病毒的一個變體。
終止進程
如果以下進程正在運行,Almanahe.B就會嘗試終止它們,並刪除與它們相關的檔案:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
其中幾個檔案名稱被其它病毒利用。
Rootkit 功能
Almanahe.B的 rootkit 功能顯示為隱藏檔案、註冊表鍵值和與病毒相關的程式信息。