萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> Win32.Almanahe.F,linkinfo.dll,nvmini.sys查殺

Win32.Almanahe.F,linkinfo.dll,nvmini.sys查殺

蠕蟲病毒Win32.Almanahe.F是一種通過網絡共享復制的病毒。它在系統上安裝一個rootkit,下載並運行任意文件。

蠕蟲病毒Win32.Almanahe.F感染方式:
當一個被感染文件運行時,Almanahe.F生成文件到以下位置:
%Windows%\linkinfo.dll
%System%\drivers\nvmini.sys
%System%\drivers\IsDrv118.sys

生成這些文件檢測出是Win32/Almanahe!generic病毒。

其中DLL文件是病毒的主要程序,SYS文件是rootkit程序,用來隱藏某些文件和注冊表鍵值。

Almanahe 將生成的DLL文件注入到"explorer.exe"中,使它能夠以系統權限運行。

Win32/Almanahe.F 生成一個名為"nvmini"的服務,每次系統啟動時加載%System%\drivers\nvmini.sys。

蠕蟲病毒Win32.Almanahe.F傳播方式:
通過文件感染進行傳播
Almanahe 搜索被感染機器上的驅動器、遠程驅動器和可移動驅動器,感染找到的以.exe 為擴展名的文件。
它不會感染包含以下字符串的目錄中的文件:
LOCAL SETTINGS\TEMP\
\WINDOWS\
\WINNT\

病毒避免感染以下名稱的文件:

通過網絡共享進行傳播
病毒嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能復制到"c:\setup.exe",並作為一個服務安裝。

蠕蟲病毒Win32.Almanahe.F危害:
終止進程
如果以下進程正在運行,Almanahe.F就會嘗試終止它們,並刪除與它們相關的文件:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe

下載並運行任意文件
Almanahe.F為用戶默認的浏覽器生成一個新程序,並將病毒代碼注入程序中,允許它發送系統信息到sb941.com域,並從sb941.com域下載文件。

其它信息
Almanahe.F生成一個互斥體,以確保每次只有一個副本運行。‍

copyright © 萬盛學電腦網 all rights reserved