“冬日桃花”病毒专杀 ——安铁诺专杀工具

悠嘻猴

                               
登录/注册后可看大图

        软件名称：“冬日桃花”病毒专杀
        软件类别：专杀工具
        软件版本：
        软件大小：820KB
        应用平台：Win2003/WinXP/Win2000/NT/WinME/Win9X/
        更新时间：2008-09-04 11:51:03
        授权方式：免费软件

软件说明


   
病毒评估

        病毒名称： “冬日桃花”病毒
        病毒名称英文：worm.win32.anilogo.b
        病毒类型：感染型下载者
        危险级别：★★★★
        传播方式：通过U盘自启动传播
        受影响的系统：Windows 2000, Windows XP, Windows Server 2003,VISTA
        未受影响的系统：Windows 3.x, Macintosh, Unix, Linux
病毒危害：

病毒发作后劫持部分杀毒软件，并感染exe,scr文件。部分被感染的程序无法启动，360等安全工具无法启动。
病毒感染PE文件时，在PE文件的尾部添加一个节用来保存病毒代码，修改入口点为病毒的代码起始位置。感染本地的可执行文件，不感染系统文件夹下的文件。
传播形式：

当用户运行被感染的PE文件时，感染部分首先被触发。在kernel32.dll上寻找到getprocess函数以后，动态调用相关的API并保存到堆栈内，完成以上步骤后，病毒将自身写到与被感染文件同一文件夹下。并调用Winexec函数运行。
当刚才被释放的病毒体运行以后，在X:\WINDOWS\Font\system文件夹下释放ati2evxx.exe病毒文件。在每个盘的根目录释放ntdlr.exe文件，以及autorun.inf达到启动病毒的目的。
病毒在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下写入名称为TBMonEx的键值：X:\WINDOWS\Font\system\ati2evxx.exe
预防和处理办法:

        1.不要打开来历不明的邮件；
        2.使用具有邮件监控功能的杀毒软件；
        3.U盘插入前请杀毒；
　　 　
　 原文地址：http://www.sanlen.com/down/sl_down_169.htm