“艾妮”(Win32.LwyMum.h)感染型病毒归来 劫持杀软件

youba

病毒特点：
1.更强的感染能力
该病毒会感染所有体积从40k；到4M；之间的exe；文件，针对这些体积小的文件进行感染有一个好处，就是能尽可能的捕获那些小巧的绿色型应用程序，利用这些小程序受人们喜欢、经常得到传播的有点，病毒可以实现更快的扩散。

2.在各磁盘分区生成自动运行的病毒文件
“艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe；和对应的autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，“艾妮”就可以传染到这些设备上。

注意：将病毒生成的NTLDR.EXE是Windows引导文件NTLDR区分开，后者没有扩展名，只存在于C盘根目录，是windows启动时的引导文件，NTLDR丢失，将会造成系统不可启动。

3.劫持安全软件，同时黑吃黑劫持其它病毒
使用映像劫持对抗安全软件的病毒很多，这个艾妮除劫持主流安全软件之外，还会把很多病毒的程序也劫持掉，达到独占系统资源的目的。

详细分析作案流程：
1.复制自身到%windir%\fonts\system\ati2evxx.exe并运行

2.创建自启动加载项
在"SoftWare\Microsoft\Windows\CurrentVersion\Run"下，创建
"TBMonEx"；字串，指向病毒程序c:\windows\fonts\system\ati2evxx.exe，实现开机自动加载。

3.创建安装信息
添加[HKEY_LOCAL_MACHINE\SOFTWARE\logogo]
"setup"="yes"；

4.劫持主流安全软件和部分流行病毒
"SOFTWARE\Microsoft\Windows；NT\CurrentVersion\Image；File；Execution；Options\"；下创建

Logo1_.exe；Navapw32.exe；Navapsvc.exe；NMain.exe；navw32.EXE；KVFW.EXE；KAVSvcUI.exe
KAVPFW.EXE；KAV32.exe；KvXP.kxp；KVSrvXP.exe；KVMonXP.kxp；KVwsc.exe；KAVsvc.exe
KWatchUI.EXE；360Safe.exe；360rpt.exe；修复工具.exe；RAVmonD.exe；RAVmon.exe
RAVtimer.exe；Rising.exe；Rav.exe；RavMon.exe；Ravtimer.exe；Iparmor.exe；TrojanHunter.exe
THGUARD.EXE；PFW.EXE；EGHOST.EXE；MAILMON.EXE；ZONEALARM.EXE；WFINDV32.EXE
360tray.exe；WEBSCANX.EXE；VSSTAT.EXE；VSHWIN32.EXE；VSECOMR.EXE；VSCAN40.EXE
VETTRAY.EXE；VET95.EXE；TDS2-NT.EXE；TDS2-98.EXE；TCA.EXE；TBSCAN.EXE
SWEEP95.EXE；SPHINX.EXE；SMC.EXE；SERV95.EXE；SCRSCAN.EXE；SCANPM.EXE
SCAN95.EXE；SCAN32.EXE；SAFEWEB.EXE；FESCUE.EXE；RAV7WIN.EXE；RAV7.EXE
PERSFW.EXE；PCFWALLICON.EXE；PCCWIN98.EXE；PAVW.EXE；PAVSCHED.EXE
PAVCL.EXE；NVC95.EXE；NUPGRADE.EXE；NORMIST.EXE
NMAIN.EXE；NISUM.EXE；NAVWNT.EXE；NAVW32.EXE；NAVNT.EXE；NAVLU32.EXE
NAVAPW32.EXE；N32SCANW.EXE；MPFTRAY.EXE；MOOLIVE.EXE；LUALL.EXE
LOOKOUT.EXE；LOCKDOWN2000.EXE；JEDI.EXE；IOMON98.EXE；IFACE.EXE
ICSUPPNT.EXE；ICSUPP95.EXE；ICMON.EXE；ICLOADNT.EXE；ICLOAD95.EXE
IBMAVSP.EXE；IBMASN.EXE；IAMSERV.EXE；IAMAPP.EXE；FRW.EXE；FPROT.EXE
FP-WIN.EXE；FINDVIRU.EXE；F-STOPW.EXE；F-PROT95.EXE；F-PROT.EXE；F-AGNT95.EXE
EXPWATCH.EXE；ESAFE.EXE；ECENGINE.EXE；DVP95_0.EXE；DVP95.EXE；CLEANER3.EXE
CLEANER.EXE；CLAW95CF.EXE；CLAW95.EXE；CFINET32.EXE；CFINET.EXE；CFIAUDIT.EXE
CFIADMIN.EXE；BLACKICE.EXE；BLACKD.EXE；AVWUPD32.EXE；AVWIN95.EXE
AVSCHED32.EXE；AVPUPD.EXE.AVPTC32.EXE；AVPM.EXE；AVPDOS32.EXE；AVPCC.EXE
AVP32.EXE；AVP.EXE；AVNT.EXE；AVKSERV.EXE；AVGCTRL.EXE；AVE32.EXE
AVCONSOL.EXE；AUTODOWN.EXE；APVXDWIN.EXE；ANTI-TROJAN.EXE；ACKWIN32.EXE
_AVPM.EXE；_AVPCC.EXE；_AVP32.EXE；PFW.exe；KAVsvcUI.exe；rising.exe；rav.exe；KVsrvXP.exe；KVMonXP.exe

5.感染部分40KB-4MB之间的EXE文件

6.从特定地址读取下载列表，下载大量木马

7.获取染毒机器的mac 、pcname、当前病毒的版本号，md5等信息至远程服务器，该信息可能供木马传播者统计感染量或其它用途。

8.当在非%windir%\fonts\system\和驱动器下运行病毒母体后，病毒会在当前目录创建一个当前文件名的.bat删除自身。给人的感觉就是执行了某程序后，这个程序文件闪一下，就消失了。

挪威的冬天

信息        2008-06-03  14:51:50        您此次查毒清除了1个病毒                       
信息        2008-06-03  14:51:50        您此次查毒共查出1个病毒以及危险代码                       
信息        2008-06-03  14:51:50        您此次查毒共查了内存模块0个，磁盘引导扇区0个，文件3个                       
信息        2008-06-03  14:51:50        金山毒霸主程序查毒过程结束，查毒方式：命令行查毒                       
病毒        2008-06-03  14:51:50        D:\Desktop\°¬ÄY2¡¶¾.rar\ntldr.exe        Win32.Troj.AgentT.ac.18776        清除成功

小邪邪

MCAFEE：
艾妮病毒.rar\NTLDR.EXE       
W32/MumaWow(病毒)

HC303

When accessing data from the URL, "http://bbs.kafan.cn/attachment.php?aid=277259&k=901f5f1d959dff97a11f894c40ffffc0&t=1212476946"
a virus or unwanted program 'INF/AutoRun.GN' [virus] was found.
Action taken: Blocked file

秋叶濛濛

这样的帖子发到救援区多好

欠妳緈諨

:\virus\艾妮病毒.rar:\autorun.inf - 特征码 'INF.AutoRun.GN' 被发现
D:\virus\艾妮病毒.rar:\ntldr.exe - 特征码 'Trojan-Spy.Win32.Delf.uv' 被发现
D:\virus\艾妮病毒.rar

        3 文件被扫描
          (1 压缩档 2 文件)
        2 特征码被侦测
        0 可疑代码段被发现
        耗时: 0:00.156

youba

可惜病毒救援区样本没有！

HC303

C:\Documents and Settings\桌面\艾妮病毒.rar
  [0] Archive type: RAR
  --> autorun.inf
      [DETECTION] Contains detection pattern of the INF virus INF/AutoRun.GN
    --> ntldr.exe
          [DETECTION] Contains detection pattern of the worm WORM/Cekar.A
      [WARNING]   The file was ignored!

sqsszzq

nealee

KIS 8.0.0.357  FR 。。。