2019年10月17日 星期四
| 首 页 | 部门首页 | 英语电台 | 信息公告 | 网络学苑/管理 | 病毒与安全 | 规章制度 | 网络简介 | 用户指南 | 校长信箱 |
当前位置:首页>>病毒与安全>>内容展示
艾妮病毒作案流程详细分析

添加时间:2008/4/28 9:28:26 部门:网络与电教中心 点击量:11727

1.复制自身到%windir%\fonts\system\ati2evxx.exe并运行

2.创建自启动加载项

在"SoftWare\Microsoft\Windows\CurrentVersion\Run"下,创建"TBMonEx";字串,指向病毒程序c:\windows\fonts\system\ati2evxx.exe,实现开机自动加载。

3.创建安装信息

添加[HKEY_LOCAL_MACHINE\SOFTWARE\logogo]   "setup"="yes";

4.劫持主流安全软件和部分流行病毒

"SOFTWARE\Microsoft\Windows;NT\CurrentVersion\Image;File;Execution;Options\";下创建Logo1_.exe;Navapw32.exe;Navapsvc.exe;NMain.exe;navw32.EXE;KVFW.EXE;KAVSvcUI.exe KAVPFW.EXE;KAV32.exe;KvXP.kxp;KVSrvXP.exe;KVMonXP.kxp;KVwsc.exe;KAVsvc.exe KWatchUI.EXE;360Safe.exe;360rpt.exe;修复工具.exe;RAVmonD.exe;RAVmon.exe RAVtimer.exe;Rising.exe;Rav.exe;RavMon.exe;Ravtimer.exe;Iparmor.exe;TrojanHunter.exe
THGUARD.EXE;PFW.EXE;EGHOST.EXE;MAILMON.EXE;ZONEALARM.EXE;WFINDV32.EXE 360tray.exe;WEBSCANX.EXE;VSSTAT.EXE;VSHWIN32.EXE;VSECOMR.EXE;VSCAN40.EXE VETTRAY.EXE;VET95.EXE;TDS2-NT.EXE;TDS2-98.EXE;TCA.EXE;TBSCAN.EXE SWEEP95.EXE;SPHINX.EXE;SMC.EXE;SERV95.EXE;SCRSCAN.EXE;SCANPM.EXE SCAN95.EXE;SCAN32.EXE;SAFEWEB.EXE;FESCUE.EXE;RAV7WIN.EXE;RAV7.EXE PERSFW.EXE;PCFWALLICON.EXE;PCCWIN98.EXE;PAVW.EXE;PAVSCHED.EXE
PAVCL.EXE;NVC95.EXE;NUPGRADE.EXE;NORMIST.EXE NMAIN.EXE;NISUM.EXE;NAVWNT.EXE;NAVW32.EXE;NAVNT.EXE;NAVLU32.EXE NAVAPW32.EXE;N32SCANW.EXE;MPFTRAY.EXE;MOOLIVE.EXE;LUALL.EXE LOOKOUT.EXE;LOCKDOWN2000.EXE;JEDI.EXE;IOMON98.EXE;IFACE.EXE ICSUPPNT.EXE;ICSUPP95.EXE;ICMON.EXE;ICLOADNT.EXE;ICLOAD95.EXE IBMAVSP.EXE;IBMASN.EXE;IAMSERV.EXE;IAMAPP.EXE;FRW.EXE;FPROT.EXE FP-WIN.EXE;FINDVIRU.EXE;F-STOPW.EXE;F-PROT95.EXE;F-PROT.EXE;F-AGNT95.EXE EXPWATCH.EXE;ESAFE.EXE;ECENGINE.EXE;DVP95_0.EXE;DVP95.EXE;CLEANER3.EXE CLEANER.EXE;CLAW95CF.EXE;CLAW95.EXE;CFINET32.EXE;CFINET.EXE;CFIAUDIT.EXE CFIADMIN.EXE;BLACKICE.EXE;BLACKD.EXE;AVWUPD32.EXE;AVWIN95.EXE AVSCHED32.EXE;AVPUPD.EXE.AVPTC32.EXE;AVPM.EXE;AVPDOS32.EXE;AVPCC.EXE AVP32.EXE;AVP.EXE;AVNT.EXE;AVKSERV.EXE;AVGCTRL.EXE;AVE32.EXE AVCONSOL.EXE;AUTODOWN.EXE;APVXDWIN.EXE;ANTI-TROJAN.EXE;ACKWIN32.EXE _AVPM.EXE;_AVPCC.EXE;_AVP32.EXE;PFW.exe;KAVsvcUI.exe;rising.exe;rav.exe;KVsrvXP.exe;KVMonXP.exe

5.感染部分40KB-4MB之间的EXE文件

6.从特定地址读取下载列表,下载大量木马

7.获取染毒机器的mac 、pcname、当前病毒的版本号,md5等信息至远程服务器,该信息可能供木马传播者统计感染量或其它用途。

8.当在非%windir%\fonts\system\和驱动器下运行病毒母体后,病毒会在当前目录创建一个当前文件名的.bat删除自身。给人的感觉就是执行了某程序后,这个程序文件闪一下,就消失了。


返回】【  】【关闭】【打印
版权所有 中国农业大学(烟台) 网络与电教中心 CopyRight 2007