“艾妮”感染型病毒下载器的解决

CPU

主板

内存

显卡

光驱

硬盘

显示器

数码

外设

整机

笔记本

其他

CPU

主板

内存

显卡

光驱

硬盘

显示器

机箱电源

数码

外设

整机

笔记本

其他

操作系统

应用软件

黑客安全

网络安全

系统优化

新软前瞻

组网维护

网络安全

网页制作

网络交流

软件新闻

业内资讯

安全资讯

业内动态

CPU

主板

内存

显卡

光驱

硬盘

显示器

数码

外设

整机

其他

⊕ 网站首页 ⊕注册会员 ⊕ 本站免费电影 ⊕ 留言板 ⊕ 繁體中文

您现在的位置：陈鹏个人网站 >> 电脑应用 >> 网络应用 >> 网络安全 >> 正文

电脑应用首页

硬件天堂

产品导购

软件学苑

网络应用

IT新闻

应用技巧

电脑维修

视频教程

专题栏目

没有任何专题栏目

最新热门

[图文]谁是最佳性价比?一
[图文]DX11主流显卡驾到
[图文]佳能450D与尼康D6
[图文]新版iPod全程拆解
[组图]不看不知道图解电
[组图]菜鸟晋级必修课程
[推荐]Linux常用命令

最新推荐

[推荐]1秒钟 XP极速关机
[推荐]如何使用瑞星升级
[推荐]如何在本站发布文

相关文章

详细解读“艾妮”新变种

“艾妮”感染型病毒下载器的解决

“艾妮”感染型病毒下载器的解决

作者：陈鹏文章来源：eNet 点击数：94 更新时间：2009-9-11 23:26:57

这个艾妮病毒下载器和去年流行的艾妮（ANI）蠕虫有很大不同，这里的艾妮是一个木马下载器。

　　病毒特点：

　　1.更强的感染能力

　　该病毒会感染所有体积从40k到4M之间的.exe文件，针对这些体积小的文件进行感染有一个好处，就是能尽可能的捕获那些小巧的绿色型应用程序，利用这些小程序受人们喜欢、经常得到传播的优点，病毒可以实现更快的扩散。

　　2.在各磁盘分区生成自动运行的病毒文件

　　“艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe；和对应的autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，“艾妮”就可以传染到这些设备上。

　　注意：将病毒生成的NTLDR.EXE是Windows引导文件NTLDR区分开，后者没有扩展名，只存在于C盘根目录，是windows启动时的引导文件，NTLDR丢失，将会造成系统不可启动。

　　3.劫持安全软件，同时黑吃黑劫持其它病毒

　　使用映像劫持对抗安全软件的病毒很多，这个艾妮除劫持主流安全软件之外，还会把很多病毒的程序也劫持掉，达到独占系统资源的目的。

　

热门推荐： WinXP系统安全实用技巧大合集瑞星杀毒2008半年免费

　　详细分析作案流程：

　　1.复制自身到%windir%\fonts\system\ati2evxx.exe并运行

　　2.创建自启动加载项

　　在”SoftWare\Microsoft\Windows\CurrentVersion\Run”下，创建

　　”TBMonEx”；字串，指向病毒程序c:\windows\fonts\system\ati2evxx.exe，实现开机自动加载。

　　3.创建安装信息

　　添加[HKEY_LOCAL_MACHINE\SOFTWARE\logogo]

　　”setup”=”yes”；

　　4.劫持主流安全软件和部分流行病毒

　　”SOFTWARE\Microsoft\Windows；NT\CurrentVersion\Image；File；Execution；Options\”；下创建

　　Logo1_.exe；Navapw32.exe；Navapsvc.exe；NMain.exe；navw32.EXE；KVFW.EXE；KAVSvcUI.exe

　　KAVPFW.EXE；KAV32.exe；KvXP.kxp；KVSrvXP.exe；KVMonXP.kxp；KVwsc.exe；KAVsvc.exe

　　KWatchUI.EXE；360Safe.exe；360rpt.exe；修复工具.exe；RAVmonD.exe；RAVmon.exe

　　RAVtimer.exe；Rising.exe；Rav.exe；RavMon.exe；Ravtimer.exe；Iparmor.exe；TrojanHunter.exe

　　THGUARD.EXE；PFW.EXE；EGHOST.EXE；MAILMON.EXE；ZONEALARM.EXE；WFINDV32.EXE

　　360tray.exe；WEBSCANX.EXE；VSSTAT.EXE；VSHWIN32.EXE；VSECOMR.EXE；VSCAN40.EXE

　　VETTRAY.EXE；VET95.EXE；TDS2-NT.EXE；TDS2-98.EXE；TCA.EXE；TBSCAN.EXE

　　SWEEP95.EXE；SPHINX.EXE；SMC.EXE；SERV95.EXE；SCRSCAN.EXE；SCANPM.EXE

　　SCAN95.EXE；SCAN32.EXE；SAFEWEB.EXE；FESCUE.EXE；RAV7WIN.EXE；RAV7.EXE

　　PERSFW.EXE；PCFWALLICON.EXE；PCCWIN98.EXE；PAVW.EXE；PAVSCHED.EXE

　　PAVCL.EXE；NVC95.EXE；NUPGRADE.EXE；NORMIST.EXE

　　NMAIN.EXE；NISUM.EXE；NAVWNT.EXE；NAVW32.EXE；NAVNT.EXE；NAVLU32.EXE

　　NAVAPW32.EXE；N32SCANW.EXE；MPFTRAY.EXE；MOOLIVE.EXE；LUALL.EXE

　　LOOKOUT.EXE；LOCKDOWN2000.EXE；JEDI.EXE；IOMON98.EXE；IFACE.EXE

　　ICSUPPNT.EXE；ICSUPP95.EXE；ICMON.EXE；ICLOADNT.EXE；ICLOAD95.EXE

　　IBMAVSP.EXE；IBMASN.EXE；IAMSERV.EXE；IAMAPP.EXE；FRW.EXE；FPROT.EXE

　　FP-WIN.EXE；FINDVIRU.EXE；F-STOPW.EXE；F-PROT95.EXE；F-PROT.EXE；F-AGNT95.EXE

　　EXPWATCH.EXE；ESAFE.EXE；ECENGINE.EXE；DVP95_0.EXE；DVP95.EXE；CLEANER3.EXE

　　CLEANER.EXE；CLAW95CF.EXE；CLAW95.EXE；CFINET32.EXE；CFINET.EXE；CFIAUDIT.EXE

　　CFIADMIN.EXE；BLACKICE.EXE；BLACKD.EXE；AVWUPD32.EXE；AVWIN95.EXE

　　AVSCHED32.EXE；AVPUPD.EXE.AVPTC32.EXE；AVPM.EXE；AVPDOS32.EXE；AVPCC.EXE

　　AVP32.EXE；AVP.EXE；AVNT.EXE；AVKSERV.EXE；AVGCTRL.EXE；AVE32.EXE

　　AVCONSOL.EXE；AUTODOWN.EXE；APVXDWIN.EXE；ANTI-TROJAN.EXE；ACKWIN32.EXE

　　_AVPM.EXE；_AVPCC.EXE；_AVP32.EXE；PFW.exe；KAVsvcUI.exe；rising.exe；rav.exe；KVsrvXP.exe；KVMonXP.exe

　　5.感染部分40KB-4MB之间的EXE文件

　　6.从特定地址读取下载列表，下载大量木马

　　7.获取染毒机器的mac 、pcname、当前病毒的版本号，md5等信息至远程服务器，该信息可能供木马传播者统计感染量或其它用途。

　　8.当在非%windir%\fonts\system\和驱动器下运行病毒母体后，病毒会在当前目录创建一个当前文件名的.bat删除自身。给人的感觉就是执行了某程序后，这个程序文件闪一下，就消失了。

　

热门推荐：

WinXP系统安全实用技巧大合集

瑞星杀毒2008半年免费

　　解决办法：

　　因该病毒是感染型病毒，可能感染大量EXE文件，手工彻底修复有一定难度。

　　手工查杀病毒的用户来说，清除“艾妮”可按一下步骤进行操作：

　　1、我们首先要找到“艾妮”隐藏在%WINDOWS%\fonts\system\目录下的主文件ati2evxx.exe ，结束它已启动的进程，并删除文件。（可以使用金山清理专家的进程管理器和文件粉碎器来完成）

　　2、接着，清除每一个磁盘分区根目录下的ntldr.exe 和autorun.inf。（注意，不要把C盘根目录下的NTLDR文件误删除，一旦删除，你的系统就无法启动了）

　　3、清理注册表的RUN 键值和镜象劫持，修复感染文件。（可以使用清理专家修复残留加载项，百宝箱中的系统修复插件可以修复映像劫持）

　　4、重启计算机后，运行金山毒霸修复所有被感染的文件。

　　自动杀毒：

　　1、未中毒的用户请升级毒霸和清理专家到最新版本，即可实现有效防御

　　2、已中毒的用户请下载艾妮专杀，该工具于4月24日测试通过。从以下地址下载

　　http://www.duba.net/zhuansha/259.shtml

　　本次升级新增了对AV终结者最新变种z和艾妮病毒(Win32.LwyMum.h)的清除。

　　文件名：DubaTool_AV_Killer.COM

　　文件大小：1,747,968 byte

　　文件版本：6.9

　　MD5值：8B3F682198440505A41FBEBDAD3F20D0

　

热门推荐：

WinXP系统安全实用技巧大合集

瑞星杀毒2008半年免费

【责任编辑王凡】

文章录入：陈鹏责任编辑：陈鹏

上一篇文章：让卡巴斯基仅监控选中的端口

下一篇文章：防范垃圾禁止非法程序暗送邮件

【字体：小大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】