IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

详细解读艾妮新变种病毒机理

2007年04月26日
赛迪网/李铁军

这是艾妮(“麦英”)病毒的变种,英文名:Worm.MyInfect.as,该版本的变种与以前的变种变化较大。

昨天晚上收到艾妮的样本,在我的本本上测试不小心中了。还好这个样本因为程序BUG,那个svchost.exe感染失败了,不然,我惨死,估计作者还会更新修复这个BUG。以下是详细的分析报告:

1.释放文件

病毒运行后,会释放一个文件:

C:\\Program Files\\Common Files\\Microsoft Shared\\Web 
Folders\\MSOSVEXT.EXE (Worm.MyInfect.as.13312)

并拷贝自己到以下目录

C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE

2.自启动

病毒会在服务里面添加一个名为“TCP/IP Service”的服务,并指向病毒体(MSOSV.exe),使自己能自启动,而老版本的病毒则是通过注册表启动项实现自启动。

3.注入进程

病毒会把Windows的记事本文件(notepad.exe,system32下)拷贝到Windows目录下,并命名为svchost.exe后运行。之后启动IE进程,并向该两个进程里面注入代码,实现以下目的:

a.IE进程

病毒下载http://temp.*******.com/table.gif(文件经过加密)并下载里面的内容

[config]
package=http://temp.*******.com/boot/table.gif
UpdateMe=http://temp.*******.com/boot/table.exe
hos=http://temp.*******.com/boot/imageh.gif
tongji=http://temp.*******.com/boot/long.htm

package是病毒下载器,下载其它木马;

UpdateMe是病毒体的自更新;

hos为host文件,替换用户系统的host文件;

tongji是作者的感染数量统计。

b.svchost.exe进程

病毒会枚举A-Z的分区,枚举出移动硬盘与网络共享分区,并把自己拷贝到该分区的根目录下,命名为game.exe,生成对应的autorun.inf,通过U盘与网络共享传播自己。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点