- 注册
- 2004-08-28
- 帖子
- 14,047
- 反馈评分
- 1
- 点数
- 61
- 年龄
- 36
Today is a good day!Isn't it?
在“艾妮”新变种里我们看到作者留了这么一句话。
上次域名被屏蔽后,“艾妮”(之前也叫“麦英”)销声匿迹了几天,最近又呆不住跑出来了。新的变种与之前变种稍有不同,原来的主程序作为子程序由新的主程序释放,释放到%ProgramFiles%\Common Files\System\directdb.exe并运行,同样开启notepad.exe进程进行感染文件的操作,感染文件的方式也和之前变种类似。另外病毒复制副本到:%ProgramFiles%\Common Files\System\wab32res.exe,创建的启动项是:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER"="%ProgramFiles%\Common Files\System\wab32res.exe"
更多内容可见我们发布的解决方案:
【CISRT2007049】艾妮变种 wab32res.exe directdb.exe 解决方案
PS1. 正巧,今天是黑色星期五,貌似没什么特别的,吸血鬼也不会复活。
PS2. 好巧,在我们发博时,作者又更新了病毒程序。留言:
今天中招...卡巴查不出
在“艾妮”新变种里我们看到作者留了这么一句话。
上次域名被屏蔽后,“艾妮”(之前也叫“麦英”)销声匿迹了几天,最近又呆不住跑出来了。新的变种与之前变种稍有不同,原来的主程序作为子程序由新的主程序释放,释放到%ProgramFiles%\Common Files\System\directdb.exe并运行,同样开启notepad.exe进程进行感染文件的操作,感染文件的方式也和之前变种类似。另外病毒复制副本到:%ProgramFiles%\Common Files\System\wab32res.exe,创建的启动项是:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"EXPLORER"="%ProgramFiles%\Common Files\System\wab32res.exe"
更多内容可见我们发布的解决方案:
【CISRT2007049】艾妮变种 wab32res.exe directdb.exe 解决方案
PS1. 正巧,今天是黑色星期五,貌似没什么特别的,吸血鬼也不会复活。
PS2. 好巧,在我们发博时,作者又更新了病毒程序。留言:
今天中招...卡巴查不出
