Win32/Almanahe.b

编辑:野禽网互动百科 时间:2020-04-05 16:10:00
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
Win32. Almanahe.B是一种通过网络共享复制的病毒。它在系统上安装一个rootkit,下载并运行任意文件。
中文名
Win32/Almanahe.b
外文名
Win32/Almanahe.b
传    播
网络共享
性    质
病毒

目录

Win32/Almanahe.b概述

编辑
感染方式:
当一个被感染文件运行时,Almanahe.B生成文件到以下位置:
%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys
DLL文件被有意截取调用到一个干净的系统DLL文件%System%\linkinfo.dll。当linkinfo.dll的一个API功能通过任意程序被调用时,在调用原始DLL中被请求的功能之前,Almanahe启动很多线程来运行它复制的代码。被感染文件还会注入很多线程到explorer.exe程序来调用这个复制代码。
两个SYS文件RioDrvs.sys 和 DKIS6.sys是一样的。RioDrvs.sys作为一个服务被安装,服务的名称为"RioDrvs",DKIS6.sys 加载到kernel memory 中,然后删除这个文件。
注:'%System%'是一个可变的路径。病毒通过查询操作系统来决定当前系统文件夹的位置。Windows 2000 and NT默认的系统安装路径是C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。

Win32/Almanahe.b传播方式

编辑
通过文件感染进行传播
Almanahe 感染系统中以.exe 为扩展名的文件。
它不会感染包含以下字符串的目录中的文件:
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\
病毒避免感染以下名称的文件:
.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
病毒还会感染系统中其它可利用的网络共享。
还要注意远程机器C: 盘Windows目录名为EXAMPLE的路径:
\\EXAMPLE\C\WINDOWS\
以上路径不包括冒号。远程系统的%Windows%目录和子目录中的文件都将被感染。
它尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到C:\Ins.exe,并作为一个服务安装。以下是它尝试的密码:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
admin

Win32/Almanahe.b危害

编辑
下载并运行任意文件
Almanahe.B为用户默认的浏览器生成一个新程序,并将病毒代码注入程序中,允许它发送系统信息到以下站点,并从以下站点下载文件:
tj.imrw0rldwide.com.
soft.imrw0rldwide.com
允许它下载一个DLL文件和其它的恶意程序。如果更新的DLL文件是可利用的,就会保存到%Windows%\AppPatch\apphelps.dll.update。随后被移动到%Windows%\AppPatch\apphelps.dll,替换以前的同名文件。这个DLL中包含很多命令。
它还下载一个文件,其中包含一个URL列表,用来获取文件。这些文件使用相同的文件名被保存到%Temp%目录,随后运行这些文件。
这些文件的版本信息可能记录在:
HKLM\Software\Adobe\Version
同时下载的文件是Lemir family病毒的一个变体。
终止进程
如果以下进程正在运行,Almanahe.B就会尝试终止它们,并删除与它们相关的文件:
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
其中几个文件名被其它病毒利用。
Rootkit 功能
Almanahe.B的 rootkit 功能显示为隐藏文件注册表键值和与病毒相关的程序信息。
词条标签:
计算机学 病毒 电脑病毒