悠嘻猴 2008-9-17 14:17
艾尼蠕虫专杀 ——安铁诺专杀工具
[img]http://www.sanlen.com/upload/down_image/sl1188553354艾尼新变种.jpg[/img]
[list][*]软件名称:艾尼蠕虫专杀[*]软件类别:专杀工具[*]软件版本:[*]软件大小:133KB[*]应用平台:Win2003[*]更新时间:2008-09-11 11:12:35[*]授权方式:免费软件[/list]
软件说明
[align=center]
病毒评估
[list][*]病毒中文名: 艾尼蠕虫[*]病毒英文名: (Worm.AiNi)[*]病毒类型:蠕虫病毒[*]病毒危险等级:★★★[*]病毒传播途径:局域网[*]病毒依赖系统:Windows 9X/NT/2000/XP[/list]
技术分析
病毒释放以下文件:
[list]%systemroot%\debug.txt
%systemroot%\svchost.exe
X:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE
X:\Program Files\Common Files\Microsoft Shared\Web Folders\ MSOSV.EXE
X:\Program Files\Common Files\Microsoft Shared\Web Folders\tempA.exe
X:\Program Files\Common Files\Microsoft Shared\Web Folders\temp*.exe
注:X为系统盘根目录。
[/list]
添加如下启动项:[list]该病毒会创建一个名为”Hello World”的服务项,实现服务启动。
相关注册表键值如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hello World HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Hello World
该病毒会创建一个进程svchost.exe(路径为%systemroot%\svchost.exe)和一个IE进程,svchost.exe进程用于感染系统中小于10MB的EXE文件(不感染系统文件夹和%ProgramFiles%文件夹下的文件),而IE进程则用于下载多种木马和后门病毒;该病毒并不是以破坏用户计算机为目的而编写,因此用户感染该病毒后几乎无法察觉;但从网上下载的多种木马、后门病毒,会使得用户游戏等账号被盗,或者电脑变成被黑客控制的肉鸡,危害比单纯破坏用户计算机的病毒更大。
[/list]手动清除办法
方法一[list]结束所有的IE进程,和路径为%systemroot%\svchost.exe的进程(这里可以借助第三方工具来查看路径,如:冰刃ICESWORD)。
删除X:\Program Files\Common Files\Microsoft Shared\Web Folders目录下的MSOSVEXT.EXE、MSOSV.EXE和下载的相关木马(如:tempA.exe)文件。
用专杀工具进行全盘扫描,修复所有被感染的可执行文件。
由于该病毒下载了大量木马和后门病毒,因此在用专杀扫描过后,再更新杀毒软件病毒库进行全盘扫描,以彻底清除所有的木马和后门病毒。
[/list]方法二[list]直接用专杀工具进行全盘扫描,修复所有被感染的可执行文件。
更新杀毒软件病毒库进行全盘扫描,以彻底清除所有的木马和后门病毒,然后重新启动计算机。
[size=10.5pt][font=宋体]原文地址:[/font][/size][url=http://www.sanlen.com/down/sl_down_58.htm][size=10pt]http://www.sanlen.com/down/sl_down_58.htm[/size][/url][size=10.5pt][/size]
[/list]
[/align]