病毒名稱
病毒別名:麥英 ANI蠕蟲 處理時間:2007-04-03 威脅級別:★★
中文名稱:艾妮 病毒類型:蠕蟲 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
這是麥英病毒的一個變種,會感染系統中的EXE檔案,但不會感染網頁檔案,
建議用戶打開病毒防火牆防止病毒的感染。
1:拷貝本體
病毒運行後會把自己拷貝到系統目錄下
%SYSTEM%\sysbmw.exe
2:更改註冊表
病毒會在註冊表中添加自啟動項
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
System Boot Check = "C:\\Windows\\System32\\SYSBMW.exe"
並刪除該鍵值
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
internat.exe
3:下載其它病毒
病毒會啟動一個IE的進程,並把自己的代碼注入到IE進程里
在IE中下載列表檔案上面的病毒:
列表檔案如下:
【config】
Version=1.0.6
NUM=7
1=http://a.******.com/cald/01.gif
2=http://a.******.com/cald/02.gif
3=http://a.******.com/cald/03.gif
4=http://a.******.com/cald/04.gif
5=http://a.******.com/cald/05.gif
6=http://a.******.com/cald/06.gif
7=http://a.******.com/cald/07.gif
hos=http://if.*******.com/test/hos.rar
UpdateMe=http://a.******.com/css.exe
tongji=http://if.*******.com/test/tongji.htm
1-7是病毒下載的木馬
hos是host檔案,病毒會使用該host檔案代替Windows的host檔案
使部分網站無法訪問
update是新病毒版本的升級地址,病毒作者會更新病毒的版本
tongji是病毒作者統計病毒的感染量的
4:感染檔案
病毒會運行一個記事本進程,並把自己注入到該進程中運行,
並對系統中10K-10MB的執行檔進行感染,但此版本的病毒
不會感染網頁檔案,也不會通過ANI漏洞傳播。
5:通過移動硬碟傳播
病毒會從Z盤開始尋找,一但發現是移動磁碟的分區,就會把自己
拷貝到該分區的根目錄下,並生成一個autorun.inf,使病毒自動運行。
