最新「艾妮」感染型病毒下載器行為分析

News

最新「艾妮」感染型病毒下載器行為分析

【賽迪網-IT技術報道】這個艾妮病毒下載器和去年流行的艾妮（ANI）蠕蟲有很大不同，這裡的艾妮是一個木馬下載器。

病毒特點：

1.更強的感染能力

該病毒會感染所有體積從40k；到4M；之間的exe；文件，針對這些體積小的文件進行感染有一個好處，就是能盡可能的捕獲那些小巧的綠色型應用程序，利用這些小程序受人們喜歡、經常得到傳播的有點，病毒可以實現更快的擴散。

2.在各硬碟分區生成自動運行的病毒文件

「艾妮」會在各硬碟分區的根目錄下生成AUTO病毒文件ntldr.exe；和對應的autorun.inf，只要用戶在中毒電腦上使用USB隨身碟等移動儲存設備，「艾妮」就可以傳染到這些設備上。

注意：將病毒生成的NTLDR.EXE是Windows引導文件NTLDR區分開，後者沒有擴展名，只存在於C盤根目錄，是windows啟動時的引導文件，NTLDR丟失，將會造成系統不可啟動。

3.劫持安全軟體，同時黑吃黑劫持其它病毒

使用映像劫持對抗安全軟體的病毒很多，這個艾妮除劫持主流安全軟體之外，還會把很多病毒的程序也劫持掉，達到獨佔系統資源的目的。

詳細分析作案流程：

1.複製自身到%windir%/fonts/system/ati2evxx.exe並運行。

2.創建自啟動加載項

在"SoftWare/Microsoft/Windows/CurrentVersion/Run"下，創建

"TBMonEx"；字串，指向病毒程序c:/windows/fonts/system/ati2evxx.exe，實現開機自動加載。

3.創建安裝信息

添加[HKEY_LOCAL_MACHINE/SOFTWARE/logogo]

"setup"="yes"；

4.劫持主流安全軟體和部分流行病毒

"SOFTWARE/Microsoft/Windows；NT/CurrentVersion/Image；File；Execution；Options/"；下創建

Logo1_.exe；Navapw32.exe；Navapsvc.exe；NMain.exe；navw32.EXE；KVFW.EXE；KAVSvcUI.exeKAVPFW.EXE；KAV32.exe；KvXP.kxp；KVSrvXP.exe；KVMonXP.kxp；KVwsc.exe；KAVsvc.exeKWatchUI.EXE；360Safe.exe；360rpt.exe；修復工具.exe；RAVmonD.exe；RAVmon.exeRAVtimer.exe；Rising.exe；Rav.exe；RavMon.exe；Ravtimer.exe；Iparmor.exe；TrojanHunter.exeTHGUARD.EXE；PFW.EXE；EGHOST.EXE；MAILMON.EXE；ZONEALARM.EXE；WFINDV32.EXE360tray.exe；WEBSCANX.EXE；VSSTAT.EXE；VSHWIN32.EXE；VSECOMR.EXE；VSCAN40.EXEVETTRAY.EXE；VET95.EXE；TDS2-NT.EXE；TDS2-98.EXE；TCA.EXE；TBSCAN.EXESWEEP95.EXE；SPHINX.EXE；SMC.EXE；SERV95.EXE；SCRSCAN.EXE；SCANPM.EXESCAN95.EXE；SCAN32.EXE；SAFEWEB.EXE；FESCUE.EXE；RAV7WIN.EXE；RAV7.EXEPERSFW.EXE；PCFWALLICON.EXE；PCCWIN98.EXE；PAVW.EXE；PAVSCHED.EXEPAVCL.EXE；NVC95.EXE；NUPGRADE.EXE；NORMIST.EXENMAIN.EXE；NISUM.EXE；NAVWNT.EXE；NAVW32.EXE；NAVNT.EXE；NAVLU32.EXENAVAPW32.EXE；N32SCANW.EXE；MPFTRAY.EXE；MOOLIVE.EXE；LUALL.EXELOOKOUT.EXE；LOCKDOWN2000.EXE；JEDI.EXE；IOMON98.EXE；IFACE.EXEICSUPPNT.EXE；ICSUPP95.EXE；ICMON.EXE；ICLOADNT.EXE；ICLOAD95.EXEIBMAVSP.EXE；IBMASN.EXE；IAMSERV.EXE；IAMAPP.EXE；FRW.EXE；FPROT.EXEFP-WIN.EXE；FINDVIRU.EXE；F-STOPW.EXE；F-PROT95.EXE；F-PROT.EXE；F-AGNT95.EXEEXPWATCH.EXE；ESAFE.EXE；ECENGINE.EXE；DVP95_0.EXE；DVP95.EXE；CLEANER3.EXECLEANER.EXE；CLAW95CF.EXE；CLAW95.EXE；CFINET32.EXE；CFINET.EXE；CFIAUDIT.EXECFIADMIN.EXE；BLACKICE.EXE；BLACKD.EXE；AVWUPD32.EXE；AVWIN95.EXEAVSCHED32.EXE；AVPUPD.EXE.AVPTC32.EXE；AVPM.EXE；AVPDOS32.EXE；AVPCC.EXEAVP32.EXE；AVP.EXE；AVNT.EXE；AVKSERV.EXE；AVGCTRL.EXE；AVE32.EXEAVCONSOL.EXE；AUTODOWN.EXE；APVXDWIN.EXE；ANTI-TROJAN.EXE；ACKWIN32.EXE_AVPM.EXE；_AVPCC.EXE；_AVP32.EXE；PFW.exe；KAVsvcUI.exe；rising.exe；rav.exe；KVsrvXP.exe；KVMonXP.exe

5.感染部分40KB-4MB之間的EXE文件。

6.從特定地址讀取下載列表，下載大量木馬。

7.獲取染毒機器的mac、pcname、當前病毒的版本號，md5等信息至遠程伺服器，該信息可能供木馬傳播者統計感染量或其它用途。

8.當在非%windir%/fonts/system/和驅動器下運行病毒母體後，病毒會在當前目錄創建一個當前文件名的.bat刪除自身。給人的感覺就是執行了某程序後，這個程序文件閃一下，就消失了。

解決辦法：

因該病毒是感染型病毒，可能感染大量EXE文件，手工徹底修復有一定難度。

手工查殺病毒的用戶來說，清除「艾妮」可按一下步驟進行操作：

1、我們首先要找到「艾妮」隱藏在%WINDOWS%/fonts/system/目錄下的主文件ati2evxx.exe ，結束它已啟動的進程，並刪除文件。（可以使用金山清理專家的進程管理器和文件粉碎器來完成）

2、接著，清除每一個硬碟分區根目錄下的ntldr.exe 和autorun.inf。（注意，不要把C盤根目錄下的NTLDR文件誤刪除，一旦刪除，你的系統就無法啟動了）

3、清理註冊表的RUN 鍵值和鏡象劫持，修復感染文件。（可以使用清理專家修復殘留加載項，百寶箱中的系統修復插件可以修復映像劫持）

4、重啟計算機後，運行金山毒霸修復所有被感染的文件。

自動殺毒：

1、未中毒的用戶請升級殺毒軟體和清理專家到最新版本，即可實現有效防禦

2、已中毒的用戶請下載艾妮專殺。

(

回上頁回首頁

免費客服專線

0800-600-386

【直營地點】
台北資料救援：115台北市南港區三重路19-11號E棟(南港軟體園區)
新竹資料救援：300新竹市東區光復路二段156號
新竹科學園區資料救援：新竹科學工業園區新安路5號4樓 (鴻海大樓裡面)
台南資料救援：700台南市中西區北門路一段57號 TEL:06-505-0005