蠕虫病毒Win32.Almanahe.F是一种通过网络共享复制的病毒。它在系统上安装一个rootkit,下载并运行任意文件。
蠕虫病毒Win32.Almanahe.F感染方式:当一个被感染文件运行时,Almanahe.F生成文件到以下位置:%Windows%linkinfo.dll%System%driversnvmini.sys%System%driversIsDrv118.sys
生成这些文件检测出是Win32/Almanahe!generic病毒。
其中DLL文件是病毒的主要程序,SYS文件是rootkit程序,用来隐藏某些文件和注册表键值。
Almanahe 将生成的DLL文件注入到"explorer.exe"中,使它能够以系统权限运行。
Win32/Almanahe.F 生成一个名为"nvmini"的服务,每次系统启动时加载%System%driversnvmini.sys。
蠕虫病毒Win32.Almanahe.F传播方式:通过文件感染进行传播Almanahe 搜索被感染机器上的驱动器、远程驱动器和可移动驱动器,感染找到的以.exe 为扩展名的文件。它不会感染包含以下字符串的目录中的文件:LOCAL SETTINGSTEMPWINDOWSWINNT
病毒避免感染以下名称的文件:
通过网络共享进行传播病毒尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到"c:setup.exe",并作为一个服务安装。
蠕虫病毒Win32.Almanahe.F危害:终止进程如果以下进程正在运行,Almanahe.F就会尝试终止它们,并删除与它们相关的文件:c0nime.execmdbcs.exectmontv.exeexplorer.exefuckjacks.exeiexpl0re.exeiexplore.exeinternat.exelogo1_.exelogo_1.exelsass.exelying.exemsdccrt.exemsvce32.exencscv32.exenvscv32.exerealschd.exerpcs.exerun1132.exerundl132.exesmss.exespo0lsv.exespoclsv.exessopure.exesvch0st.exesvhost32.exesxs.exesysbmw.exesysload3.exetempicon.exeupxdnd.exewdfmgr32.exewsvbs.exe
下载并运行任意文件Almanahe.F为用户默认的浏览器生成一个新程序,并将病毒代码注入程序中,允许它发送系统信息到sb941.com域,并从sb941.com域下载文件。
其它信息Almanahe.F生成一个互斥体,以确保每次只有一个副本运行。
