底下為小弟查到的一些資料,供大家參考。
病毒 Virus.Win32.Alman.b 是病毒 Virus.Win32.Alman.a 的變種。此病毒每感染一個檔,病毒碼就會變一次,防毒引擎想透過特徵碼查殺來修復被感染的檔,困難重重。因此,到目前為止,還沒有發現哪個防毒軟體能夠修復被 virus 感染的 EXE,只能選擇隔離。
卡巴發現 Virus.Win32.Alman.a 病毒,目前卡巴可以清除病毒,保留檔。建議大家將卡巴斯基的主動防禦保護全部開啟,特別是啟用登錄檔防護和程式完整性保護。
中此病毒的系統,將會很慘,可能不得不備份文件後重裝系統。
提醒使用者及早升級防範 virus 病毒,如果不幸中招,可根據受損程度處理。如果系統 EXE 破壞嚴重,可以採用備份進行還原,沒有備份的情況下,覆蓋安裝可以最大程度減少損失。實在不想麻煩,可以將機子停用個把星期的時間,然後升級病毒庫,再查殺,說不定一切迎刃而解了。
這個病毒使用的加密引擎來自波蘭,那個 IRC 伺服器功能變數名稱為 proxim.ircgalaxy.pl,貌似也是波蘭的功能變數名稱。
行為
該病毒的其它行為:
感染尾碼為:EXE 和 SCR 的可執行檔:
如果檔案名以下面的開始,則不感染
WINC
WCUN
WC32
PSTO
連接 IRC 伺服器:
proxim.ircgalaxy.pl
-------------------------------------------------------------------------------------
Win32/Almanahe.b
病毒特性:
Win32. Almanahe.B 是一種透過網路共用複製的病毒。它在系統上安裝一個 rootkit,下載並執行任意檔。
感染方式:
當一個被感染檔執行時,Almanahe.B 生成檔案到以下位置:
%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys
DLL 檔被有意截取調用到一個乾淨的系統 DLL 檔 %System%\linkinfo.dll。當 linkinfo.dll 的一個API功能透過任意程式被調用時,在調用原始 DLL 中被請求的功能之前,Almanahe 啟動很多執行緒來執行它複製的代碼。被感染檔還會注入很多執行緒到 explorer.exe 程式來調用這個複製代碼。
兩個 SYS 檔 RioDrvs.sys 和 DKIS6.sys 是一樣的。RioDrvs.sys 作為一個服務被安裝,服務的名稱為"RioDrvs",DKIS6.sys 載入到 kernel memory 中,然後刪除這個檔。
注:'%System%'是一個可變的路徑。病毒透過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT 預設的系統安裝路徑是 C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。
傳播方式
通過檔感染進行傳播
Almanahe 感染系統中以 .exe 為副檔名的檔。
它不會感染包含以下字串的目錄中的檔:
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\
病毒避免感染以下名稱的檔:
.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
病毒還會感染系統中其它可利用的網路共用。
還要注意遠端機器 C: 槽 Windows 目錄名為 EXAMPLE 的路徑:
\\EXAMPLE\C\WINDOWS\
以上路徑不包括冒號。遠端系統的 %Windows% 目錄和子目錄中的檔都將被感染。
它嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能複製到 C:\Ins.exe,並作為一個服務安裝。以下是它嘗試的密碼:
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
admin
危害
下載並執行任意檔
Almanahe.B 為使用者預設的瀏覽器生成一個新程式,並將病毒代碼注入程式中,允許它發送系統資訊到以下網站,並從以下網站下載檔案:
tj.imrw0rldwide.com.
soft.imrw0rldwide.com
允許它下載一個 DLL 檔和其它的惡意程式。如果更新的 DLL 檔是可利用的,就會保存到%Windows%\AppPatch\apphelps.dll.update。隨後被移動到%Windows%\AppPatch\apphelps.dll,替換以前的同名檔。這個 DLL 中包含很多命令。
它還下載一個檔,其中包含一個 URL 清單,用來獲取檔。這些檔使用相同的檔案名被保存到%Temp%目錄,隨後執行這些檔。
這些檔的版本資訊可能記錄在:
HKLM\Software\Adobe\Version
同時下載的檔是 Lemir family 病毒的一個變體。
終止進程
如果以下進程正在執行,Almanahe.B 就會嘗試終止它們,並刪除與它們相關的檔:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
其中幾個檔案名被其它病毒利用。
Rootkit 功能
Almanahe.B 的 rootkit 功能顯示為隱藏檔、登錄機碼和與病毒相關的程式資訊。
-------------------------------------------------------------------------------------
建議用
http://forum.slime.com.tw/thread273912.html
來殺看看。