蠕虫病毒Win32.Almanahe.F是一种通过网络共享复制的病毒。它在系统上安装一个rootkit,下载并运行任意文件。
蠕虫病毒Win32.Almanahe.F感染方式:
当一个被感染文件运行时,Almanahe.F生成文件到以下位置:
%Windows%\linkinfo.dll
%System%\drivers\nvmini.sys
%System%\drivers\IsDrv118.sys
生成这些文件检测出是Win32/Almanahe!generic病毒。
其中DLL文件是病毒的主要程序,SYS文件是rootkit程序,用来隐藏某些文件和注册表键值。
Almanahe 将生成的DLL文件注入到"explorer.exe"中,使它能够以系统权限运行。
Win32/Almanahe.F 生成一个名为"nvmini"的服务,每次系统启动时加载%System%\drivers\nvmini.sys。
标签:
