• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 病毒防護

「艾妮」感染型病毒下載器行為分析

這個艾妮病毒下載器和去年流行的艾妮(ANI)蠕蟲有很大不同,這裡的艾妮是一個木馬下載器。 QTu資料救援-RCS資料救援

病毒特點: QTu資料救援-RCS資料救援

1.更強的感染能力 QTu資料救援-RCS資料救援

該病毒會感染所有體積從40k;到4M;之間的exe;文件,針對這些體積小的文件進行感染有一個好處,就是能盡可能的捕獲那些小巧的綠色型應用程序,利用這些小程序受人們喜歡、經常得到傳播的有點,病毒可以實現更快的擴散。 QTu資料救援-RCS資料救援

2.在各硬碟分區生成自動運行的病毒文件 QTu資料救援-RCS資料救援

“艾妮”會在各硬碟分區的根目錄下生成AUTO病毒文件ntldr.exe;和對應的autorun.inf,只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備,“艾妮”就可以傳染到這些設備上。 QTu資料救援-RCS資料救援

注意:將病毒生成的NTLDR.EXE是Windows引導文件NTLDR區分開,後者沒有擴展名,只存在於C盤根目錄,是windows啟動時的引導文件,NTLDR丟失,將會造成系統不可啟動。 QTu資料救援-RCS資料救援

3.劫持安全軟體,同時黑吃黑劫持其它病毒 QTu資料救援-RCS資料救援

使用映像劫持對抗安全軟體的病毒很多,這個艾妮除劫持主流安全軟體之外,還會把很多病毒的程序也劫持掉,達到獨佔系統資源的目的。 QTu資料救援-RCS資料救援

詳細分析作案流程: QTu資料救援-RCS資料救援

1.複製自身到%windir%/fonts/system/ati2evx

[1] [2] [3] [4] [5]
加入好友line@vga9721w
線上客服
@hd119