• 軟體損壞資料救援
    誤分割、誤格式化、誤ghost、駭客攻擊、PQ調整失敗等...
  • 硬體損壞資料救援
    電路板芯片燒壞,不認碟、碟體書寫錯誤等...
  • 伺服器資料救援
    磁碟陣列RAID0 、RAID1、RAID1+0、NAS、SAN 、JBO
  • 筆電資料救援
    東芝、日立、邁拓、三星、富士通、昆騰、筆記型等...
  • RAID資料救援
    對RAID0、RAID1、RAID1E、RAID5E、RAID6等救援...
  • 硬碟資料救援
    IDE、SCSI、S-ATA介面的IBM、易拓,昆騰硬碟,移動硬碟...
目前位置: 首頁 > 新聞中心 > 技術專欄

最新「艾妮」感染型病毒下載器行為分析

【賽迪網-IT技術報道】這個艾妮病毒下載器和去年流行的艾妮(ANI)蠕蟲有很大不同,這裡的艾妮是一個木馬下載器。

病毒特點:

1.更強的感染能力

該病毒會感染所有體積從40k;到4M;之間的exe;文件,針對這些體積小的文件進行感染有一個好處,就是能盡可能的捕獲那些小巧的綠色型應用程序,利用這些小程序受人們喜歡、經常得到傳播的有點,病毒可以實現更快的擴散。

2.在各硬碟分區生成自動運行的病毒文件

「艾妮」會在各硬碟分區的根目錄下生成AUTO病毒文件ntldr.exe;和對應的autorun.inf,只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備,「艾妮」就可以傳染到這些設備上。

注意:將病毒生成的NTLDR.EXE是Windows引導文件NTLDR區分開,後者沒有擴展名,只存在於C盤根目錄,是windows啟動時的引導文件,NTLDR丟失,將會造成系統不可啟動。

3.劫持安全軟體,同時黑吃黑劫持其它病毒

使用映像劫持對抗安全軟體的病毒很多,這個艾妮除劫持主流安全軟體之外,還會把很多病毒的程序也劫持掉,達到獨佔系統資源的目的。

詳細分析作案流程:

1.複製自身到%windir%/fonts/system/ati2evxx.exe並運行。

2.創建自啟動加載項

在"SoftWare/Microsoft/Windows/CurrentVersion/Run"下,創建

"TBMonEx";字串,指向病毒程序c:/windows/fonts/system/ati2evxx.exe,實現開機自動加載。

3.創建安裝信息

添加[HKEY_LOCAL_MACHINE/SOFTWARE/logogo]

"setup"="yes";

4.劫持主流安全軟體和部分流行病毒

"SOFTWARE/Microsoft/Windows;NT/CurrentVersion/Image;File;Execution;Options/";下創建

Logo1_.exe;Navapw32.exe;Navapsvc.exe;NMain.exe;navw32.EXE;KVFW.EXE;KAVSvcUI.exeKAVPFW.EXE;KAV32.exe;KvXP.kxp;KVSrvXP.exe;KVMonXP.kxp;KVwsc.exe;KAVsvc.exeKWatchUI.EXE;360Safe.exe;360rpt.exe;修復工具.exe;RAVmonD.exe;RAVmon.exeRAVtimer.exe;Rising.exe;Rav.exe;RavMon.exe;Ravtimer.exe;Iparmor.exe;TrojanHunter.exeTHGUARD.EXE;PFW.EXE;EGHOST.EXE;MAILMON.EXE;ZONEALARM.EXE;WFINDV32.EXE360tray.exe;WEBSCANX.EXE;VSSTAT.EXE;VSHWIN32.EXE;VSECOMR.EXE;VSCAN40.EXEVETTRAY.EXE;VET95.EXE;TDS2-NT.EXE;TDS2-98.EXE;TCA.EXE;TBSCAN.EXESWEEP95.EXE;SPHINX.EXE;SMC.EXE;SERV95.EXE;SCRSCAN.EXE;SCANPM.EXESCAN95.EXE;SCAN32.EXE;SAFEWEB.EXE;FESCUE.EXE;RAV7WIN.EXE;RAV7.EXEPERSFW.EXE;PCFWALLICON.EXE;PCCWIN98.EXE;PAVW.EXE;PAVSCHED.EXEPAVCL.EXE;NVC95.EXE;NUPGRADE.EXE;NORMIST.EXENMAIN.EXE;NISUM.EXE;NAVWNT.EXE;NAVW32.EXE;NAVNT.EXE;NAVLU32.EXENAVAPW32.EXE;N32SCANW.EXE;MPFTRAY.EXE;MOOLIVE.EXE;LUALL.EXELOOKOUT.EXE;LOCKDOWN2000.EXE;JEDI.EXE;IOMON98.EXE;IFACE.EXEICSUPPNT.EXE;ICSUPP95.EXE;ICMON.EXE;ICLOADNT.EXE;ICLOAD95.EXEIBMAVSP.EXE;IBMASN.EXE;IAMSERV.EXE;IAMAPP.EXE;FRW.EXE;FPROT.EXEFP-WIN.EXE;FINDVIRU.EXE;F-STOPW.EXE;F-PROT95.EXE;F-PROT.EXE;F-AGNT95.EXEEXPWATCH.EXE;ESAFE.EXE;ECENGINE.EXE;DVP95_0.EXE;DVP95.EXE;CLEANER3.EXECLEANER.EXE;CLAW95CF.EXE;CLAW95.EXE;CFINET32.EXE;CFINET.EXE;CFIAUDIT.EXECFIADMIN.EXE;BLACKICE.EXE;BLACKD.EXE;AVWUPD32.EXE;AVWIN95.EXEAVSCHED32.EXE;AVPUPD.EXE.AVPTC32.EXE;AVPM.EXE;AVPDOS32.EXE;AVPCC.EXEAVP32.EXE;AVP.EXE;AVNT.EXE;AVKSERV.EXE;AVGCTRL.EXE;AVE32.EXEAVCONSOL.EXE;AUTODOWN.EXE;APVXDWIN.EXE;ANTI-TROJAN.EXE;ACKWIN32.EXE_AVPM.EXE;_AVPCC.EXE;_AVP32.EXE;PFW.exe;KAVsvcUI.exe;rising.exe;rav.exe;KVsrvXP.exe;KVMonXP.exe

5.感染部分40KB-4MB之間的EXE文件。

6.從特定地址讀取下載列表,下載大量木馬。

7.獲取染毒機器的mac、pcname、當前病毒的版本號,md5等信息至遠程伺服器,該信息可能供木馬傳播者統計感染量或其它用途。

8.當在非%windir%/fonts/system/和驅動器下運行病毒母體後,病毒會在當前目錄創建一個當前文件名的.bat刪除自身。給人的感覺就是執行了某程序後,這個程序文件閃一下,就消失了。

解決辦法:

因該病毒是感染型病毒,可能感染大量EXE文件,手工徹底修復有一定難度。

手工查殺病毒的用戶來說,清除「艾妮」可按一下步驟進行操作:

1、我們首先要找到「艾妮」隱藏在%WINDOWS%/fonts/system/目錄下的主文件ati2evxx.exe ,結束它已啟動的進程,並刪除文件。(可以使用金山清理專家的進程管理器和文件粉碎器來完成)

2、接著,清除每一個硬碟分區根目錄下的ntldr.exe 和autorun.inf。(注意,不要把C盤根目錄下的NTLDR文件誤刪除,一旦刪除,你的系統就無法啟動了)

3、清理註冊表的RUN 鍵值和鏡象劫持,修復感染文件。(可以使用清理專家修復殘留加載項,百寶箱中的系統修復插件可以修復映像劫持)

4、重啟計算機後,運行金山毒霸修復所有被感染的文件。

自動殺毒:

1、未中毒的用戶請升級殺毒軟體和清理專家到最新版本,即可實現有效防禦

2、已中毒的用戶請下載艾妮專殺。

(

加入好友line@vga9721w
線上客服
@hd119