悠嘻猴 - 2008-9-18 16:26:00
软件名称:艾尼蠕虫专杀
软件类别:专杀工具
软件版本:
软件大小:133KB
应用平台:Win2003
更新时间:2008-09-11 11:12:35
授权方式:免费软件
软件说明
病毒评估
病毒中文名: 艾尼蠕虫
病毒英文名: (Worm.AiNi)
病毒类型:蠕虫病毒
病毒危险等级:★★★
病毒传播途径:局域网
病毒依赖系统:Windows 9X/NT/2000/XP
技术分析
病毒释放以下文件:
%systemroot%\debug.txt
%systemroot%\svchost.exe
X:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE
X:\Program Files\Common Files\Microsoft Shared\Web Folders\ MSOSV.EXE
X:\Program Files\Common Files\Microsoft Shared\Web Folders\tempA.exe
X:\Program Files\Common Files\Microsoft Shared\Web Folders\temp*.exe
注:X为系统盘根目录。
添加如下启动项:
该病毒会创建一个名为”Hello World”的服务项,实现服务启动。
相关注册表键值如下: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hello World HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Hello World
该病毒会创建一个进程svchost.exe(路径为%systemroot%\svchost.exe)和一个IE进程,svchost.exe进程用于感染系统中小于10MB的EXE文件(不感染系统文件夹和%ProgramFiles%文件夹下的文件),而IE进程则用于下载多种木马和后门病毒;该病毒并不是以破坏用户计算机为目的而编写,因此用户感染该病毒后几乎无法察觉;但从网上下载的多种木马、后门病毒,会使得用户游戏等账号被盗,或者电脑变成被黑客控制的肉鸡,危害比单纯破坏用户计算机的病毒更大。
手动清除办法
方法一
结束所有的IE进程,和路径为%systemroot%\svchost.exe的进程(这里可以借助第三方工具来查看路径,如:冰刃ICESWORD)。
删除X:\Program Files\Common Files\Microsoft Shared\Web Folders目录下的MSOSVEXT.EXE、MSOSV.EXE和下载的相关木马(如:tempA.exe)文件。
用专杀工具进行全盘扫描,修复所有被感染的可执行文件。
由于该病毒下载了大量木马和后门病毒,因此在用专杀扫描过后,再更新杀毒软件病毒库进行全盘扫描,以彻底清除所有的木马和后门病毒。
方法二
直接用专杀工具进行全盘扫描,修复所有被感染的可执行文件。
更新杀毒软件病毒库进行全盘扫描,以彻底清除所有的木马和后门病毒,然后重新启动计算机。
原文地址:http://www.sanlen.com/down/sl_down_58.htm