疑問 - 關於win32 alman

[丹楓]

底下為小弟查到的一些資料，供大家參考。

病毒 Virus.Win32.Alman.b 是病毒 Virus.Win32.Alman.a 的變種。此病毒每感染一個檔，病毒碼就會變一次，防毒引擎想透過特徵碼查殺來修復被感染的檔，困難重重。因此，到目前為止，還沒有發現哪個防毒軟體能夠修復被 virus 感染的 EXE，只能選擇隔離。

卡巴發現 Virus.Win32.Alman.a 病毒，目前卡巴可以清除病毒，保留檔。建議大家將卡巴斯基的主動防禦保護全部開啟，特別是啟用登錄檔防護和程式完整性保護。
中此病毒的系統，將會很慘，可能不得不備份文件後重裝系統。
提醒使用者及早升級防範 virus 病毒，如果不幸中招，可根據受損程度處理。如果系統 EXE 破壞嚴重，可以採用備份進行還原，沒有備份的情況下，覆蓋安裝可以最大程度減少損失。實在不想麻煩，可以將機子停用個把星期的時間，然後升級病毒庫，再查殺，說不定一切迎刃而解了。
這個病毒使用的加密引擎來自波蘭，那個 IRC 伺服器功能變數名稱為 proxim.ircgalaxy.pl，貌似也是波蘭的功能變數名稱。

行為
該病毒的其它行為：
感染尾碼為：EXE 和 SCR 的可執行檔：
如果檔案名以下面的開始，則不感染
WINC
WCUN
WC32
PSTO
連接 IRC 伺服器:
proxim.ircgalaxy.pl

-------------------------------------------------------------------------------------
Win32/Almanahe.b

病毒特性：
Win32. Almanahe.B 是一種透過網路共用複製的病毒。它在系統上安裝一個 rootkit，下載並執行任意檔。
感染方式：
當一個被感染檔執行時，Almanahe.B 生成檔案到以下位置：
%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys
DLL 檔被有意截取調用到一個乾淨的系統 DLL 檔 %System%\linkinfo.dll。當 linkinfo.dll 的一個API功能透過任意程式被調用時，在調用原始 DLL 中被請求的功能之前，Almanahe 啟動很多執行緒來執行它複製的代碼。被感染檔還會注入很多執行緒到 explorer.exe 程式來調用這個複製代碼。
兩個 SYS 檔 RioDrvs.sys 和 DKIS6.sys 是一樣的。RioDrvs.sys 作為一個服務被安裝，服務的名稱為"RioDrvs"，DKIS6.sys 載入到 kernel memory 中，然後刪除這個檔。
注：'%System%'是一個可變的路徑。病毒透過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT 預設的系統安裝路徑是 C:\Winnt\System32； 95，98 和 ME 的是C:\Windows\System； XP 的是C:\Windows\System32。

傳播方式
通過檔感染進行傳播
Almanahe 感染系統中以 .exe 為副檔名的檔。
它不會感染包含以下字串的目錄中的檔：
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\
病毒避免感染以下名稱的檔：
.exe
asktao.exe
au_unins_web.exe
audition.exe
autoupdate.exe
ca.exe
cabal.exe
cabalmain.exe
cabalmain9x.exe
config.exe
dbfsupdate.exe
dk2.exe
dragonraja.exe
flyff.exe
game.exe
gc.exe
hs.exe
kartrider.exe
main.exe
maplestory.exe
meteor.exe
mhclient-connect.exe
mjonline.exe
mts.exe
nbt-dragonraja2006.exe
neuz.exe
nmcosrv.exe
nmservice.exe
nsstarter.exe
patcher.exe
patchupdate.exe
sealspeed.exe
trojankiller.exe
userpic.exe
wb-service.exe
woool.exe
wooolcfg.exe
xlqy2.exe
xy2.exe
xy2player.exe
zfs.exe
zhengtu.exe
ztconfig.exe
zuonline.exe
病毒還會感染系統中其它可利用的網路共用。
還要注意遠端機器 C: 槽 Windows 目錄名為 EXAMPLE 的路徑：
\\EXAMPLE\C\WINDOWS\
以上路徑不包括冒號。遠端系統的 %Windows% 目錄和子目錄中的檔都將被感染。
它嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能複製到 C:\Ins.exe，並作為一個服務安裝。以下是它嘗試的密碼：
zxcv
qazwsx
qaz
qwer
!@#$%^&*()
!@#$%^&*(
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
654321
123456
12345
1234
123
111
admin

危害
下載並執行任意檔
Almanahe.B 為使用者預設的瀏覽器生成一個新程式，並將病毒代碼注入程式中，允許它發送系統資訊到以下網站，並從以下網站下載檔案：
tj.imrw0rldwide.com.
soft.imrw0rldwide.com
允許它下載一個 DLL 檔和其它的惡意程式。如果更新的 DLL 檔是可利用的，就會保存到%Windows%\AppPatch\apphelps.dll.update。隨後被移動到%Windows%\AppPatch\apphelps.dll，替換以前的同名檔。這個 DLL 中包含很多命令。
它還下載一個檔，其中包含一個 URL 清單，用來獲取檔。這些檔使用相同的檔案名被保存到%Temp%目錄，隨後執行這些檔。
這些檔的版本資訊可能記錄在：
HKLM\Software\Adobe\Version
同時下載的檔是 Lemir family 病毒的一個變體。
終止進程
如果以下進程正在執行，Almanahe.B 就會嘗試終止它們，並刪除與它們相關的檔：
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
其中幾個檔案名被其它病毒利用。
Rootkit 功能
Almanahe.B 的 rootkit 功能顯示為隱藏檔、登錄機碼和與病毒相關的程式資訊。
-------------------------------------------------------------------------------------
建議用
http://forum.slime.com.tw/thread273912.html
來殺看看。