Win32/Almanahe.b

感染方式：

當一個被感染檔案運行時，Almanahe.B生成檔案到以下位置：

%Windows%\linkinfo.dll

%System%\drivers\RioDrvs.sys

%System%\drivers\DKIS6.sys

DLL檔案被有意截取調用到一個乾淨的系統DLL檔案%System%\linkinfo.dll。當linkinfo.dll的一個API功能通過任意程式被調用時，在調用原始DLL中被請求的功能之前，Almanahe啟動很多執行緒來運行它複製的代碼。被感染檔案還會注入很多執行緒到explorer.exe程式來調用這個複製代碼。

兩個SYS檔案RioDrvs.sys 和 DKIS6.sys是一樣的。RioDrvs.sys作為一個服務被安裝，服務的名稱為"RioDrvs"，DKIS6.sys 載入到kernel memory 中，然後刪除這個檔案。

註：'%System%'是一個可變的路徑。病毒通過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT默認的系統安裝路徑是C:\Winnt\System32； 95，98 和 ME 的是C:\Windows\System； XP 的是C:\Windows\System32。

通過檔案感染進行傳播

Almanahe 感染系統中以.exe 為擴展名的檔案。

它不會感染包含以下字元串的目錄中的檔案：

\QQ

:\WINNT\

:\WINDOWS\

LOCAL SETTINGS\TEMP\

病毒避免感染以下名稱的檔案：

.exe

asktao.exe

au_unins_web.exe

audition.exe

autoupdate.exe

ca.exe

cabal.exe

cabalmain.exe

cabalmain9x.exe

dbfsupdate.exe

dk2.exe

dragonraja.exe

flyff.exe

game.exe

gc.exe

hs.exe

maplestory.exe

meteor.exe

mhclient-connect.exe

mjonline.exe

mts.exe

nbt-dragonraja2006.exe

neuz.exe

nmcosrv.exe

nmservice.exe

nsstarter.exe

patcher.exe

patchupdate.exe

sealspeed.exe

trojankiller.exe

userpic.exe

wb-service.exe

woool.exe

wooolcfg.exe

xlqy2.exe

xy2.exe

xy2player.exe

zfs.exe

zhengtu.exe

ztconfig.exe

zuonline.exe

病毒還會感染系統中其它可利用的網路共享。

還要注意遠程機器C: 盤Windows目錄名為EXAMPLE的路徑：

\\EXAMPLE\C\WINDOWS\

以上路徑不包括冒號。遠程系統的%Windows%目錄和子目錄中的檔案都將被感染。

它嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能複製到C:\Ins.exe，並作為一個服務安裝。以下是它嘗試的密碼：

zxcv

qazwsx

qaz

qwer

!@#$%^&*()

!@#$%^&*(

!@#$%^&*

!@#$%^&

!@#$%^

!@#$%

asdfgh

asdf

!@#$

654321

123456

12345

1234

123

111

admin

下載並運行任意檔案

Almanahe.B為用戶默認的瀏覽器生成一個新程式，並將病毒代碼注入程式中，允許它傳送系統信息到以下站點，並從以下站點下載檔案：

tj.imrw0rldwide.com.

soft.imrw0rldwide.com

允許它下載一個DLL檔案和其它的惡意程式。如果更新的DLL檔案是可利用的，就會保存到%Windows%\AppPatch\apphelps.dll.update。隨後被移動到%Windows%\AppPatch\apphelps.dll，替換以前的同名檔案。這個DLL中包含很多命令。

它還下載一個檔案，其中包含一個URL列表，用來獲取檔案。這些檔案使用相同的檔案名稱被保存到%Temp%目錄，隨後運行這些檔案。

這些檔案的版本信息可能記錄在：

HKLM\Software\Adobe\Version

同時下載的檔案是Lemir family病毒的一個變體。

終止進程

如果以下進程正在運行，Almanahe.B就會嘗試終止它們，並刪除與它們相關的檔案：

cmdbcs.exe

ctmontv.exe

explorer.exe

fuckjacks.exe

iexpl0re.exe

iexplore.exe

internat.exe

logo1_.exe

logo_1.exe

lsass.exe

lying.exe

msdccrt.exe

msvce32.exe

ncscv32.exe

nvscv32.exe

realschd.exe

rpcs.exe

run1132.exe

rundl132.exe

smss.exe

spo0lsv.exe

spoclsv.exe

ssopure.exe

svch0st.exe

svhost32.exe

sxs.exe

sysbmw.exe

sysload3.exe

tempicon.exe

upxdnd.exe

wdfmgr32.exe

wsvbs.exe

其中幾個檔案名稱被其它病毒利用。

Rootkit 功能

Almanahe.B的 rootkit 功能顯示為隱藏檔案、註冊表鍵值和與病毒相關的程式信息。