Win32.Almanahe.F,linkinfo.dll,nvmini.sys查杀

发布时间：2013-04-03 18:40:32作者：知识屋

蠕虫病毒Win32.Almanahe.F是一种通过网络共享复制的病毒。它在系统上安装一个rootkit，下载并运行任意文件。

蠕虫病毒Win32.Almanahe.F感染方式：
当一个被感染文件运行时，Almanahe.F生成文件到以下位置：
%Windows%linkinfo.dll
%System%driversnvmini.sys
%System%driversIsDrv118.sys

生成这些文件检测出是Win32/Almanahe!generic病毒。

其中DLL文件是病毒的主要程序，SYS文件是rootkit程序，用来隐藏某些文件和注册表键值。

Almanahe 将生成的DLL文件注入到"explorer.exe"中，使它能够以系统权限运行。

Win32/Almanahe.F 生成一个名为"nvmini"的服务，每次系统启动时加载%System%driversnvmini.sys。

蠕虫病毒Win32.Almanahe.F传播方式:
通过文件感染进行传播
Almanahe 搜索被感染机器上的驱动器、远程驱动器和可移动驱动器，感染找到的以.exe 为扩展名的文件。
它不会感染包含以下字符串的目录中的文件：www.zhishiwu.com
LOCAL SETTINGSTEMP
WINDOWS
WINNT

病毒避免感染以下名称的文件：

通过网络共享进行传播
病毒尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到"c:setup.exe"，并作为一个服务安装。

蠕虫病毒Win32.Almanahe.F危害：
终止进程
如果以下进程正在运行，Almanahe.F就会尝试终止它们，并删除与它们相关的文件：
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
upxdnd.exe
wdfmgr32.exe
wsvbs.exe