蠕虫病毒Win32.Almanahe.F传播方式:
通过文件感染进行传播
Almanahe 搜索被感染机器上的驱动器、远程驱动器和可移动驱动器,感染找到的以.exe 为扩展名的文件。
它不会感染包含以下字符串的目录中的文件:
LOCAL SETTINGS\TEMP\
\WINDOWS\
\WINNT\
病毒避免感染以下名称的文件:
通过网络共享进行传播
病毒尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到"c:\setup.exe",并作为一个服务安装。
蠕虫病毒Win32.Almanahe.F危害:
终止进程
如果以下进程正在运行,Almanahe.F就会尝试终止它们,并删除与它们相关的文件:
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe
下载并运行任意文件
Almanahe.F为用户默认的浏览器生成一个新程序,并将病毒代码注入程序中,允许它发送系统信息到sb941.com域,并从sb941.com域下载文件。
其它信息
Almanahe.F生成一个互斥体,以确保每次只有一个副本运行。
标签:
