详细解读“艾妮”新变种病毒机理

这是艾妮(“麦英”)病毒的变种，英文名：Worm.MyInfect.as，该版本的变种与以前的变种变化较大。

昨天晚上收到艾妮的样本，在我的本本上测试不小心中了。还好这个样本因为程序BUG，那个svchost.exe感染失败了，不然，我惨死，估计作者还会更新修复这个BUG。以下是详细的分析报告：

1.释放文件

病毒运行后，会释放一个文件：

C:\\Program Files\\Common Files\\Microsoft Shared\\Web 
Folders\\MSOSVEXT.EXE (Worm.MyInfect.as.13312)

C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE

2.自启动

病毒会在服务里面添加一个名为“TCP/IP Service”的服务，并指向病毒体(MSOSV.exe)，使自己能自启动，而老版本的病毒则是通过注册表启动项实现自启动。

3.注入进程

病毒会把Windows的记事本文件(notepad.exe,system32下)拷贝到Windows目录下，并命名为svchost.exe后运行。之后启动IE进程，并向该两个进程里面注入代码，实现以下目的：

a.IE进程

病毒下载http://temp.*******.com/table.gif(文件经过加密)并下载里面的内容

[config]
package=http://temp.*******.com/boot/table.gif
UpdateMe=http://temp.*******.com/boot/table.exe
hos=http://temp.*******.com/boot/imageh.gif
tongji=http://temp.*******.com/boot/long.htm

package是病毒下载器，下载其它木马；

UpdateMe是病毒体的自更新；

hos为host文件，替换用户系统的host文件；

tongji是作者的感染数量统计。

b.svchost.exe进程

病毒会枚举A-Z的分区，枚举出移动硬盘与网络共享分区，并把自己拷贝到该分区的根目录下，命名为game.exe，生成对应的autorun.inf，通过U盘与网络共享传播自己。

最新相关文章

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒