病毒特性：
Win32. Almanahe.B是一种通过网络共享复制的病毒。它在系统上安装一个rootkit，下载并运行任意文件。

感染方式：
当一个被感染文件运行时，Almanahe.B生成文件到以下位置：
%Windows%\linkinfo.dll
%System%\drivers\RioDrvs.sys
%System%\drivers\DKIS6.sys

DLL文件被有意截取调用到一个干净的系统DLL文件%System%\linkinfo.dll。当linkinfo.dll的一个API功能通过任意程序被调用时，在调用原始DLL中被请求的功能之前，Almanahe启动很多线程来运行它复制的代码。被感染文件还会注入很多线程到explorer.exe程序来调用这个复制代码。

两个SYS文件RioDrvs.sys 和 DKIS6.sys是一样的。RioDrvs.sys作为一个服务被安装，服务的名称为"RioDrvs"，DKIS6.sys 加载到kernel memory 中，然后删除这个文件。

传播方式:
通过文件感染进行传播
Almanahe 感染系统中以.exe 为扩展名的文件。
它不会感染包含以下字符串的目录中的文件：
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\

病毒避免感染以下名称的文件
病毒还会感染系统中其它可利用的网络共享。

还要注意远程机器C: 盘Windows目录名为EXAMPLE的路径：
\\EXAMPLE\C\WINDOWS\

以上路径不包括冒号。远程系统的%Windows%目录和子目录中的文件都将被感染。

它尝试使用管理员帐户弱口令进入被感染系统安装并启用病毒。它可能复制到C:\Ins.exe，并作为一个服务安装。

病毒危害：
下载并运行任意文件
Almanahe.B为用户默认的浏览器生成一个新程序，并将病毒代码注入程序中，允许它发送系统信息到以下站点

允许它下载一个DLL文件和其它的恶意程序。如果更新的DLL文件是可利用的，就会保存到%Windows%\AppPatch\apphelps.dll.udate。随后被移动到%Windows%\AppPatch\apphelps.dll，替换以前的同名文件。这个DLL中包含很多命令。

它还下载一个文件，其中包含一个URL列表，用来获取文件。这些文件使用相同的文件名被保存到%Temp%目录，随后运行这些文件。

这些文件的版本信息可能记录在：
HKLM\Software\Adobe\Version

同时下载的文件是Lemir family病毒的一个变体。

终止进程
如果以下进程正在运行，Almanahe.B就会尝试终止它们，并删除与它们相关的文件：
c0nime.exe
cmdbcs.exe
ctmontv.exe
explorer.exe
fuckjacks.exe
iexpl0re.exe
iexplore.exe
internat.exe
logo1_.exe
logo_1.exe
lsass.exe
lying.exe
msdccrt.exe
msvce32.exe
ncscv32.exe
nvscv32.exe
realschd.exe
rpcs.exe
run1132.exe
rundl132.exe
smss.exe
spo0lsv.exe
spoclsv.exe
ssopure.exe
svch0st.exe
svhost32.exe
sxs.exe
sysbmw.exe
sysload3.exe
tempicon.exe
uxdnd.exe
wdfmgr32.exe
wsvbs.exe

其中几个文件名被其它病毒利用。

Rootkit 功能
Almanahe.B的 rootkit 功能显示为隐藏文件、注册表键值和与病毒相关的程序信息