這是艾妮(“麥英”)病毒的變種，英文名：Worm.MyInfect.as，該版本的變種與以前的變種變化較大。

昨天晚上收到艾妮的樣本，在我的本本上測試不小心中了。還好這個樣本因為程序BUG，那個svchost.exe感染失敗了，不然，我慘死，估計作者還會更新修復(fù)這個BUG。以下是詳細的分析報告：

1.釋放文件

病毒運行后，會釋放一個文件：

C:\\Program Files\\Common Files\\Microsoft Shared\\Web 
Folders\\MSOSVEXT.EXE (Worm.MyInfect.as.13312)

C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE

2.自啟動

病毒會在服務(wù)里面添加一個名為“TCP/IP Service”的服務(wù)，并指向病毒體(MSOSV.exe)，使自己能自啟動，而老版本的病毒則是通過注冊表啟動項實現(xiàn)自啟動。

3.注入進程

病毒會把Windows的記事本文件(notepad.exe,system32下)拷貝到Windows目錄下，并命名為svchost.exe后運行。之后啟動IE進程，并向該兩個進程里面注入代碼，實現(xiàn)以下目的：

a.IE進程

病毒下載http://temp.*******.com/table.gif(文件經(jīng)過加密)并下載里面的內(nèi)容

[config]
package=http://temp.*******.com/boot/table.gif
UpdateMe=http://temp.*******.com/boot/table.exe
hos=http://temp.*******.com/boot/imageh.gif
tongji=http://temp.*******.com/boot/long.htm

package是病毒下載器，下載其它木馬；

UpdateMe是病毒體的自更新；

hos為host文件，替換用戶系統(tǒng)的host文件；

tongji是作者的感染數(shù)量統(tǒng)計。

b.svchost.exe進程

病毒會枚舉A-Z的分區(qū)，枚舉出移動硬盤與網(wǎng)絡(luò)共享分區(qū)，并把自己拷貝到該分區(qū)的根目錄下，命名為game.exe，生成對應(yīng)的autorun.inf，通過U盤與網(wǎng)絡(luò)共享傳播自己。