Worm.MyInfect.aa
病毒别名: 处理时间:2007-03-30 威胁级别:★★
中文名称:麦英 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
这是一个Win32平台下的感染型病毒,感染本地磁盘中的.exe文件,并连接网络下载其他病毒。
1、释放病毒文件到如下路径:
%SYSTEM%\sysload3.exe
2、修改注册表,添加如下键值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"System Boot Check"="C:\WINDOWS\system32\sysload3.exe"
尝试删除如下键值
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\internat.exe
3、起IE进程,注入病毒代码,连接网络下载病毒配置文件
配置文件:http://a.2007**.com/css.css,内容如下
[config]
Version=1.0.6
NUM=7
1=http://a.2007ip.com/cald/01.gif
2=http://a.2007ip.com/cald/02.gif
3=http://a.2007ip.com/cald/03.gif
4=http://a.2007ip.com/cald/04.gif
5=http://a.2007ip.com/cald/05.gif
6=http://a.2007ip.com/cald/06.gif
7=http://a.2007ip.com/cald/07.gif
hos=http://if.iloveck.com/test/hos.rar
UpdateMe=http://a.2007ip.com/css.exe
tongji=http://if.iloveck.com/test/tongji.htm
HomePage=http://www.5yip.com/?cj
MAIL_USER=i_love_cq
MAIL_PASS=654321
SMTP_SERVER=smtp.sohu.com
4、读取配置文件下载病毒。
5、读取配置文件,当发现病毒新版本时,下载更新。
6、启NOTEPAD进程,便利本地磁盘,感染大小在10K---10M之间的.exe文件,感染后图标不变,使病毒难以被察觉。
7、修改host文件,屏蔽如下网站:
127.0.0.1 localhost
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
这个木马感染大小在10k到10M之间的exe文件,以及几乎所有asp,aspx,html,htm,php文件。
下面有专杀工具
适用于SysLoad3.exe V1.0.6版本:用于恢复被感染EXE程序,对于其他被感染的asp,aspx,htm,html,jsp,php文件,简单的替换掉特征串大概就可以了吧
