這是艾妮(“麥英”)病毒的變種，英文名：Worm.MyInfect.as，該版本的變種與以前的變種變化較大。

昨天晚上收到艾妮的樣本，在我的本本上測試不小心中了。還好這個樣本因為程序BUG，那個svchost.exe感染失敗了，不然，我慘死，估計作者還會更新修復這個BUG。以下是詳細的分析報告：

1.釋放文件

病毒運行后，會釋放一個文件：

C:\\Program Files\\Common Files\\Microsoft Shared\\Web 
Folders\\MSOSVEXT.EXE (Worm.MyInfect.as.13312)

C:\\Program Files\\Common Files\\Microsoft Shared\\Web Folders\\MSOSV.EXE

2.自啟動

病毒會在服務里面添加一個名為“TCP/IP Service”的服務，并指向病毒體(MSOSV.exe)，使自己能自啟動，而老版本的病毒則是通過注冊表啟動項實現自啟動。

3.注入進程

病毒會把Windows的記事本文件(notepad.exe,system32下)拷貝到Windows目錄下，并命名為svchost.exe后運行。之后啟動IE進程，并向該兩個進程里面注入代碼，實現以下目的：

a.IE進程

病毒下載http://temp.*******.com/table.gif(文件經過加密)并下載里面的內容

[config]
package=http://temp.*******.com/boot/table.gif
UpdateMe=http://temp.*******.com/boot/table.exe
hos=http://temp.*******.com/boot/imageh.gif
tongji=http://temp.*******.com/boot/long.htm

package是病毒下載器，下載其它木馬；

UpdateMe是病毒體的自更新；

hos為host文件，替換用戶系統的host文件；

tongji是作者的感染數量統計。

b.svchost.exe進程

病毒會枚舉A-Z的分區，枚舉出移動硬盤與網絡共享分區，并把自己拷貝到該分區的根目錄下，命名為game.exe，生成對應的autorun.inf，通過U盤與網絡共享傳播自己。