“艾妮”(Win32.LwyMum.h)感染型病毒下载器解决方案

好好

　这个艾妮病毒下载器和去年流行的艾妮（ANI）蠕虫有很大不同，这里的艾妮是一个木马下载器。　　病毒特点：
　　1.更强的感染能力
　　该病毒会感染所有体积从40k到4M之间的.exe文件，针对这些体积小的文件进行感染有一个好处，就是能尽可能的捕获那些小巧的绿色型应用程序，利用这些小程序受人们喜欢、经常得到传播的优点，病毒可以实现更快的扩散。

　　2.在各磁盘分区生成自动运行的病毒文件
　　“艾妮”会在各磁盘分区的根目录下生成AUTO病毒文件ntldr.exe；和对应的autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，“艾妮”就可以传染到这些设备上。
　　注意：将病毒生成的NTLDR.EXE是Windows引导文件NTLDR区分开，后者没有扩展名，只存在于C盘根目录，是windows启动时的引导文件，NTLDR丢失，将会造成系统不可启动。
　　3.劫持安全软件，同时黑吃黑劫持其它病毒
　　使用映像劫持对抗安全软件的病毒很多，这个艾妮除劫持主流安全软件之外，还会把很多病毒的程序也劫持掉，达到独占系统资源的目的。
　　详细分析作案流程：
　　1.复制自身到%windir%\fonts\system\ati2evxx.exe并运行
　　2.创建自启动加载项
　　在”SoftWare\Microsoft\Windows\CurrentVersion\Run”下，创建
　　”TBMonEx”；字串，指向病毒程序c:\windows\fonts\system\ati2evxx.exe，实现开机自动加载。
　　3.创建安装信息
　　添加[HKEY_LOCAL_MACHINE\SOFTWARE\logogo]
　　”setup”=”yes”；
　　4.劫持主流安全软件和部分流行病毒
　　”SOFTWARE\Microsoft\Windows；NT\CurrentVersion\Image；File；Execution；Options\”；下创建
　　Logo1_.exe；Navapw32.exe；Navapsvc.exe；NMain.exe；navw32.EXE；KVFW.EXE；KAVSvcUI.exe
　　KAVPFW.EXE；KAV32.exe；KvXP.kxp；KVSrvXP.exe；KVMonXP.kxp；KVwsc.exe；KAVsvc.exe
　　KWatchUI.EXE；360Safe.exe；360rpt.exe；修复工具.exe；RAVmonD.exe；RAVmon.exe
　　RAVtimer.exe；Rising.exe；Rav.exe；RavMon.exe；Ravtimer.exe；Iparmor.exe；TrojanHunter.exe
　　THGUARD.EXE；PFW.EXE；EGHOST.EXE；MAILMON.EXE；ZONEALARM.EXE；WFINDV32.EXE
　　360tray.exe；WEBSCANX.EXE；VSSTAT.EXE；VSHWIN32.EXE；VSECOMR.EXE；VSCAN40.EXE
　　VETTRAY.EXE；VET95.EXE；TDS2-NT.EXE；TDS2-98.EXE；TCA.EXE；TBSCAN.EXE
　　SWEEP95.EXE；SPHINX.EXE；SMC.EXE；SERV95.EXE；SCRSCAN.EXE；SCANPM.EXE
　　SCAN95.EXE；SCAN32.EXE；SAFEWEB.EXE；FESCUE.EXE；RAV7WIN.EXE；RAV7.EXE
　　PERSFW.EXE；PCFWALLICON.EXE；PCCWIN98.EXE；PAVW.EXE；PAVSCHED.EXE
　　PAVCL.EXE；NVC95.EXE；NUPGRADE.EXE；NORMIST.EXE
　　NMAIN.EXE；NISUM.EXE；NAVWNT.EXE；NAVW32.EXE；NAVNT.EXE；NAVLU32.EXE
　　NAVAPW32.EXE淘宝皇冠店最好的神奇拖把润唇好吗bb霜什么牌子好化妆水去皱效果好的眼霜洗面丰胸推荐防晒控油补水产品外用减肥口臭吃什么药护肤保湿面霜排行有效的调节肠道什么牌子好；N32SCANW.EXE；MPFTRAY.EXE；MOOLIVE.EXE；LUALL.EXE
　　LOOKOUT.EXE；LOCKDOWN2000.EXE；JEDI.EXE；IOMON98.EXE；IFACE.EXE
　　ICSUPPNT.EXE；ICSUPP95.EXE；ICMON.EXE；ICLOADNT.EXE；ICLOAD95.EXE
　　IBMAVSP.EXE；IBMASN.EXE；IAMSERV.EXE；IAMAPP.EXE；FRW.EXE；FPROT.EXE
　　FP-WIN.EXE；FINDVIRU.EXE；F-STOPW.EXE；F-PROT95.EXE；F-PROT.EXE；F-AGNT95.EXE
　　EXPWATCH.EXE；ESAFE.EXE；ECENGINE.EXE；DVP95_0.EXE；DVP95.EXE；CLEANER3.EXE
　　CLEANER.EXE；CLAW95CF.EXE；CLAW95.EXE；CFINET32.EXE；CFINET.EXE；CFIAUDIT.EXE
　　CFIADMIN.EXE；BLACKICE.EXE；BLACKD.EXE；AVWUPD32.EXE；AVWIN95.EXE
　　AVSCHED32.EXE；AVPUPD.EXE.AVPTC32.EXE；AVPM.EXE；AVPDOS32.EXE；AVPCC.EXE
　　AVP32.EXE；AVP.EXE；AVNT.EXE；AVKSERV.EXE；AVGCTRL.EXE；AVE32.EXE
　　AVCONSOL.EXE；AUTODOWN.EXE；APVXDWIN.EXE；ANTI-TROJAN.EXE；ACKWIN32.EXE
　　_AVPM.EXE；_AVPCC.EXE；_AVP32.EXE；PFW.exe；KAVsvcUI.exe；rising.exe；rav.exe；KVsrvXP.exe；KVMonXP.exe
　　5.感染部分40KB-4MB之间的EXE文件
　　6.从特定地址读取下载列表，下载大量木马
　　7.获取染毒机器的mac 、pcname、当前病毒的版本号，md5等信息至远程服务器，该信息可能供木马传播者统计感染量或其它用途。
　　8.当在非%windir%\fonts\system\和驱动器下运行病毒母体后，病毒会在当前目录创建一个当前文件名的.bat删除自身。给人的感觉就是执行了某程序后，这个程序文件闪一下，就消失了。
　　解决办法：
　　因该病毒是感染型病毒，可能感染大量EXE文件，手工彻底修复有一定难度。
　　手工查杀病毒的用户来说，清除“艾妮”可按一下步骤进行操作：
　　1、我们首先要找到“艾妮”隐藏在%WINDOWS%\fonts\system\目录下的主文件ati2evxx.exe ，结束它已启动的进程，并删除文件。（可以使用金山清理专家的进程管理器和文件粉碎器来完成）
　　2、接着，清除每一个磁盘分区根目录下的ntldr.exe 和autorun.inf。（注意，不要把C盘根目录下的NTLDR文件误删除，一旦删除，你的系统就无法启动了）
　　3、清理注册表的RUN 键值和镜象劫持，修复感染文件。（可以使用清理专家修复残留加载项，百宝箱中的系统修复插件可以修复映像劫持）
　　4、重启计算机后，运行金山毒霸修复所有被感染的文件。
　　自动杀毒：
　　1、未中毒的用户请升级毒霸和清理专家到最新版本，即可实现有效防御
　　2、已中毒的用户请下载艾妮专杀，该工具于4月24日测试通过。从以下地址下载
　　http://www.duba.net/zhuansha/259.shtml
　　本次升级新增了对AV终结者最新变种z和艾妮病毒(Win32.LwyMum.h)的清除。
　　文件名：DubaTool_AV_Killer.COM
　　文件大小：1,747,968 byte
　　文件版本：6.9
　　MD5值：8B3F682198440505A41FBEBDAD3F20D0

zhgw

一般病毒进不来，厉害的GHOST算了

好好

恩 呵呵 不过病毒进来把你号盗走了 GHOST也没用啊:tiaopi

rokey_xia

最好不要用GHOST，因为GHOST现在好象没有哪个版本比较完美！！

好好

恩 有道理 自己好好保护电脑就可以了:weixiao

zhgw

银行账号不给我盗走就行，别的不怕。“GHOST现在好象没有哪个版本比较完美”……这句话什么意思？我用的都很好啊

好好

呵呵 我用的不多 问问rokey吧:weixiao

rokey_xia

原帖由 zhgw 于 2008-4-25 11:41 发表
银行账号不给我盗走就行，别的不怕。“GHOST现在好象没有哪个版本比较完美”……这句话什么意思？我用的都很好啊

版本做的还是有缺陷的，比如电脑公司版本的有一个默认的漏洞，具体的我就不说了，想知道的话，给我发邮件，再次重申，以上评论纯属个人观点，不代表其他人