“艾妮”(Win32.LwyMum.h)感染型病毒下载器解决方案

“艾妮”(Win3II.LwyMum.h)感染型病毒下载器解决方案
243IV.gif (2I.83 KB)
2008-4-24 11:17
这一个艾妮病毒下载器和去年流行的艾妮（ANI）蠕虫有很大不同，这里面的艾妮是一个令人讨厌的电脑木马下载器.病毒特点：
I.更强的感染能力
该病毒会感染所有体积从40k；到4M；之间的exe；文件，针对这些体积小的文件进行感染有一个好处，就是能尽可能的捕获那些小巧的绿色型应用程序(Procedures)(Procedures)，利用这些小程序(Procedures)(Procedures)受人们喜欢,经常得到传播的有点，病毒可以实现更快的扩散.II.在各磁盘分区生成自动运行的病毒文件
“艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe；和对应的autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，“艾妮”就可以传染到这些设备上.注意：将病毒生成的NTLDR.EXE是Windows引导文件NTLDR区分开，后者没有扩展名，只存在于C盘根目录，是Microsoft Windows启动操作系统时的引导文件，NTLDR丢失，将会造成操作操作系统不可启动操作系统.III.劫持安全软件(soft)，同时黑吃黑劫持其他病毒
使用映像劫持对抗安全软件(soft)的病毒很多很多，这一个艾妮除劫持主流安全软件(soft)之外，还可能会把很多很多病毒的程序(Procedures)(Procedures)也劫持掉，达到独占操作操作系统资源的目的.详细分析作案流程：
I.复制自身到%windir%\fonts\system\ati2evxx.exe并运行II.创建自启动操作系统加载项
在"SoftWare\Microsoft\Windows\CurrentVersion\Run"下，创建
"TBMonEx"；字串，指向病毒程序(Procedures)(Procedures)c:\Microsoft Windows\fonts\system\ati2evxx.exe，实现电脑开机自动加载.III.创建安装信息
添加[HKEY_LOCAL_MACHINE\SOFTWARE\logogo]
"setup"="yes"；IV.劫持主流安全软件(soft)和部分流行病毒
"SOFTWARE\Microsoft\Windows；NT\CurrentVersion\Image；File；Execution；Options\"；下创建Logo1_.exe；Navapw3II.exe；Navapsvc.exe；NMain.exe；navw3II.EXE；KVFW.EXE；KAVSvcUI.exe
KAVPFW.EXE；KAV3II.exe；KvXP.kxp；KVSrvXP.exe；KVMonXP.kxp；KVwsc.exe；KAVsvc.exe
KWatchUI.EXE；360Safe.exe；360rpt.exe；修复工具.exe；RAVmonD.exe；RAVmon.exe
RAVtimer.exe；Rising.exe；Rav.exe；RavMon.exe；Ravtimer.exe；Iparmor.exe；TrojanHunter.exe
THGUARD.EXE；PFW.EXE；EGHOST.EXE；MAILMON.EXE；ZONEALARM.EXE；WFINDV3II.EXE
360tray.exe；WEBSCANX.EXE；VSSTAT.EXE；VSHWIN3II.EXE；VSECOMR.EXE；VSCAN40.EXE
VETTRAY.EXE；VET9V.EXE；TDS2-NT.EXE；TDS2-98.EXE；TCA.EXE；TBSCAN.EXE
SWEEP9V.EXE；SPHINX.EXE；SMC.EXE；SERV9V.EXE；SCRSCAN.EXE；SCANPM.EXE
SCAN9V.EXE；SCAN3II.EXE；SAFEWEB.EXE；FESCUE.EXE；RAV7WIN.EXE；RAVVII.EXE
PERSFW.EXE；PCFWALLICON.EXE；PCCWIN98.EXE；PAVW.EXE；PAVSCHED.EXE
PAVCL.EXE；NVC9V.EXE；NUPGRADE.EXE；NORMIST.EXE
NMAIN.EXE；NISUM.EXE；NAVWNT.EXE；NAVW3II.EXE；NAVNT.EXE；NAVLU3II.EXE
NAVAPW3II.EXE；N32SCANW.EXE；MPFTRAY.EXE；MOOLIVE.EXE；LUALL.EXE
LOOKOUT.EXE；LOCKDOWN2000.EXE；JEDI.EXE；IOMON98.EXE；IFACE.EXE
ICSUPPNT.EXE；ICSUPP9V.EXE；ICMON.EXE；ICLOADNT.EXE；ICLOAD9V.EXE
IBMAVSP.EXE；IBMASN.EXE；IAMSERV.EXE；IAMAPP.EXE；FRW.EXE；FPROT.EXE
FP-WIN.EXE；FINDVIRU.EXE；F-SW.EXE；F-PROT9V.EXE；F-PROT.EXE；F-AGNT9V.EXE
EXPWATCH.EXE；ESAFE.EXE；ECENGINE.EXE；DVP95_0.EXE；DVP9V.EXE；CLEANERIII.EXE
CLEANER.EXE；CLAW95CF.EXE；CLAW9V.EXE；CFINET3II.EXE；CFINET.EXE；CFIAUDIT.EXE
CFIADMIN.EXE；BLACKICE.EXE；BLACKD.EXE；AVWUPD3II.EXE；AVWIN9V.EXE
AVSCHED3II.EXE；AVPUPD.EXE.AVPTC3II.EXE；AVPM.EXE；AVPDOS3II.EXE；AVPCC.EXE
AVP3II.EXE；AVP.EXE；AVNT.EXE；AVKSERV.EXE；AVGCTRL.EXE；AVE3II.EXE
AVCONSOL.EXE；AUTODOWN.EXE；APVXDWIN.EXE；ANTI-TROJAN.EXE；ACKWIN3II.EXE
_AVPM.EXE；_AVPCC.EXE；_AVP3II.EXE；PFW.exe；KAVsvcUI.exe；rising.exe；rav.exe；KVsrvXP.exe；KVMonXP.exeV.感染部分40KB-4MB之间的EXE文件VI.从特定地址读取下载列表，下载大量令人讨厌的电脑木马VII.获取染毒机器的mac ,pcname,当前病毒的版本号，md5等信息至远程服务器(Server)，该信息可能供令人讨厌的电脑木马传播者统计感染量或者是其他用途.8.当在非%windir%\fonts\system\和驱动器下运行病毒母体后，病毒会在当前目录创建一个当前文件名的.bat彻底删除自身.给人们的感觉就是执行了某程序(Procedures)(Procedures)后，这一个程序(Procedures)(Procedures)文件闪一下，就突然之间就消失了.可以解决的或者可以实行的办法：
因该病毒是感染型病毒，可能感染大量EXE文件，手工彻底修复有一定难度.手工查杀病毒的用户来说，清除“艾妮”可按一下步骤进行操作：
1,我们最开始要找到“艾妮”隐藏(Hide)在%WINDOWS%\fonts\system\目录下的主文件ati2evxx.exe ，结束他已启动操作系统的进程，并彻底删除文件.（可以使用金山清理专家的进程管理器和文件粉碎器来完成）
II.接着，清除每一个磁盘分区根目录下的ntldr.exe 和autorun.inf.（注意，不要把C盘根目录下的NTLDR文件误彻底删除，一旦彻底删除，您的操作操作系统就根本没有办法启动操作系统了）
III.清理注册表(Regedit)的RUN 键值和镜像劫持，修复感染文件.（可以使用清理专家修复残留加载项，百宝箱中的操作操作系统修复插件可以修复映像劫持）
IV.重新启动操作系统操作系统电脑后，运行金山毒霸修复所有被感染的文件.自动杀毒：
1,未中毒的用户请升级毒霸和清理专家到最新版本，就可以了实现有效防御
II.已中毒的用户请下载艾妮专杀，该工具于4月24日测试通过.从以下地址下载
http://www.duba.net/zhuansha/259.shtml本次升级新增了对AV终结者最新变种z和艾妮病毒(Win3II.LwyMum.h)的清除.
文件名：DubaTool_AV_Killer.COM
文件大小：1,747,968
文件版本：VI.9
MD5值：8B3F682198440505A41FBEBDAD3F20D0-------
又是个感染型的-------
感染型，我喜欢-------
我晕
下载试一试
竟然出现多年不见的朋友——蓝屏-------
应该就是之前的“恐怖鸡性感号”的变种.
真讨厌
还好毒霸有专杀-------
蓝屏蓝屏……-------
现在正常了……-------
真的假的？-------
我的毒霸已经升级了，应该没有问题吧-------
可恨！-------
马上升级，防为主.-------
强烈要求铁军叔叔更换头像.不应该用这么敏感的头像，因为铁军叔叔怎么说也是公众人物.suibianbaiotai-------
是否保持毒霸最新就没问题?谢！-------
好东西,很马上~-------
我日.又出病毒拉..郁闷了.-------
我的也是，下载后运行，出现了两次蓝屏哦.咋回事吗-------
楼上的兄弟，试一下在操作操作系统中搜索*.dump，把日期是今天[{$WriteTime}]的那个打包发上来吧.
多谢.-------
可以支持.-------
怎么回事． 下载了一点就 机器从起 晕死 点２次 ２次从起？？-------
每一位什么地方有该下载器可以下载？