感染蠕虫Worm.Win32.Anilogo.b分析

　　病毒名称： Wrom.Win32.Anilogo.b

　　病毒类型： 感染式蠕虫

　　文件 MD5： D4BC853EA0191A909EDDC894B744BBF0

　　危害等级： 高

　　文件长度： 1,142,914字节

　　感染系统： Windows98以上版本

　　病毒描述：

　　该病毒属于感染式，被感染的样本在宿主的尾部添加一个节用来保存病毒代码，修改入口点为病毒的代码起始位置。

　　行为分析：

　　本地行为:

　　感染本地的可执行文件，不感染系统文件夹下的文件

　　注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

　　%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量

　　%Windir% WINDODWS所在目录

　　%DriveLetter% 逻辑驱动器根目录

　　%ProgramFiles% 系统程序默认安装目录

　　%HomeDrive% = C: 当前启动的系统的所在分区

　　%Documents and Settings% 当前用户文档根目录

　　代码分析：

　　获取Kernel32的基地址：

　　暴力搜索API模块：

　　获取函数的线性地址：

　　调用获取的API执行病毒的操作：

　　清除方案：

　　从最后一个节(.ani)的偏移0x04h处取出宿主的原始入口点EntryOfPoint

　　删除文件最后一个节(节名称是.ani)

　　删除最后一个节的节表(.ani)

　　修正SizeOfImage

　　修正节数目=原节数目-1