Worm.MyInfect.an
编辑摘要
摘要
- 编辑本段病毒别名
- 麦英 ANI蠕虫 处理时间:2007-04-11 威胁级别:★★
- 编辑本段中文名称
- 艾妮 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
- 编辑本段病毒行为
- 这是MyInfect病毒的一个新变种
1:拷贝自己
病毒会把自己拷贝自己到以下目录中(固定路径):
C:\\Program Files\\Common Files\\System\\driectdb.exe
C:\\Program Files\\Common Files\\System\\wab32res.exe (Worm.MyInfect.an.5512)
并为driectdb.exe文件加入了隐藏属性,文件时间改为与notepad.exe时间相同.
2:更改注册表
病毒会在注册表的自启动项中添加一项,使自己能随Windows启动.
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
EXPLORER = "C:\\Program Files\\Common Files\\System\\wab32res.exe"
尝试删除此键:
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
internat.exe
3:注入进程
病毒会把自己分别注入到两个进程中
notepad.exe与iexplorer.exe中,负责感染文件与下载病毒之用
4:下载文件
被病毒注入的iexplorer.exe进程会下载http://w1.******.com/baner.gif文件到
C:\\Program Files\\Common Files\\System\\avp.ini,并能此文件进行解密,
登陆 http://mirc.ys168.com/, 下载并安装杀马(Defendio),可以杀了病毒。 - 编辑本段感染文件
- 病毒会感染系统中.exe扩展名的文件,感染方式为叠加感染.
- 编辑本段生成autorun.ini
病毒会把自己拷贝到移动磁盘的分区根目录下,
命名为tool.exe,并生成相应的autorun.inf文件,
通过移动磁盘传播自己.并尝试向A盘写aurorun.inf,
系统会提示用户把软件插入A磁盘驱动器里.
-
开放分类:
