蠕虫病毒Win32.Almanahe.F是一种通过网络共享复制的病毒 。它在系统上安装一个rootkit,下载并运行任意文件 。
蠕虫病毒Win32.Almanahe.F感染方式:
当一个被感染文件运行时,Almanahe.F生成文件到以下位置:
%Windows%linkinfo.dll
%System%driversnvmini.sys
%System%driversIsDrv118.sys
生成这些文件检测出是Win32/Almanahe!generic病毒 。
其中DLL文件是病毒的主要程序,SYS文件是rootkit程序,用来隐藏某些文件和注册表键值 。
Almanahe 将生成的DLL文件注入到"explorer.exe"中,使它能够以系统权限运行 。
Win32/Almanahe.F 生成一个名为"nvmini"的服务,每次系统启动时加载%System%driversnvmini.sys 。
蠕虫病毒Win32.Almanahe.F传播方式:
通过文件感染进行传播
Almanahe 搜索被感染机器上的驱动器、远程驱动器和可移动驱动器,感染找到的以.exe 为扩展名的文件 。
它不会感染包含以下字符串的目录中的文件:
LOCAL SETTINGSTEMP
WINDOWS
WINNT
病毒避免感染以下名称的文件:
通过网络共享进行传播
病毒尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒 。它可能复制到"c:setup.exe",并作为一个服务安装 。
蠕虫病毒Win32.Almanahe.F危害:
终止进程
如果以下进程正在运行,Almanahe.F就会尝试终止它们,并删除与它们相关的文件:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
【Win32.Almanahe.F,linkinfo.dll,nvmini.sys查杀】下载并运行任意文件
Almanahe.F为用户默认的浏览器生成一个新程序,并将病毒代码注入程序中,允许它发送系统信息到sb941.com域,并从sb941.com域下载文件 。
其它信息
Almanahe.F生成一个互斥体,以确保每次只有一个副本运行 。?
