IM-Worm.Win32.Sumom.a

病毒名称： IM-Worm.Win32.Sumom.a

病毒类型： 蠕虫

文件 MD5： 00BC44BD52D7CE5FF19A2D02606A45D4

公开范围： 完全公开

危害等级： 中

文件长度： 155,648 字节

感染系统： Windows 98 及以上版本

开发工具： Microsoft Visual Basic 5.0 / 6.0

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

该病毒属蠕虫类，病毒主要通过MSN传播，也可以复制原病毒副本到共享文件夹下，病毒运行后复制原病毒副本到%System%和%Windows%目录下，修改注册表文件，添加启动项，病毒还会创建一个互斥体，防止该病毒的多个副本同时运行。病毒还会遍历系统当前进程，尝试终止某些反病毒及安全类、资源分析类软件的进程。修改%System%driversetchosts文件，阻止用户访问某些网站，该病毒对用户有一定危害。

行为分析：

1、创建一个互斥体'-F-u-c-k-'-Y-o-u-' 防止该病毒的多个副本同时运行。

2、修改注册表文件：

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRunServices

HKEY_CURRENT_USERMicrosoftWindowsCurruntVersionRun

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionpoliciesExplorerRun

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionpoliciesExplorerRun

3、病毒运行后复制原病毒副本到：

%System%formatsys.exe

%System%serbw.exe

%Windows%msmbw.exe

4、遍历系统当前进程，尝试终止以下反病毒及安全类、资源分析类软件的进程：

avengine.exe

apvxdwin.exe

autodown.exe

autotrace.exe

avwupd32.exe

avxquar.exe

bawindo.exe

nisum.exe

firewall.exe

frameworkservice.exe

icssuppnt.exe

icsupp95.exe

mcshield.exe

mcupdate.exe

mcvsescn.exe

mcvsrte.exe

mcvsshld.exe

navapsvc.exe

navapw32.exe

nopdb.exe

nprotect.exe

pavsrv50.exe

rtvscan.exe

blackd.exe

ccapp.exe

ccevtmgr.exe

ccproxy.exe

ccpxysvc.exe

cfiaudit.exe

escanhnt.exe

rulaunch.exe

savscan.exe

shstat.exe

vshwin32.exe

vsstat.exe

vstskmgr.exe

cmd.exe

msconfig.exe

msdev.exe

ollydbg.exe

peid.exe

petools.exe

w32dasm.exe

winhex.exe

wscript.exe

......

5、病毒主要通过MSN和P2P软件，共享文件夹传播：

其中，通过msn传播时的病毒名可能为：

Crazy frog gets killed by train!.pif

See my lesbian friends.pif

……

复制原病毒副本到以下文件夹中：

My Shared Folder

Program FileseMuleIncoming

Documents and SettingsShared

病毒名可能为：

Messenger Plus! 3.50.exe

MSN nudge bomb.exe

……

6、修改%System%driversetchosts文件，阻止用户访问以下网站：

www.symantec.com

www.sophos.com

www.mcafee.com

www.viruslist.com

www.f-secure.com

www.avp.com

www.kaspersky.com

www.networkassociates.com

www.ca.com

www.my-etrust.com

www.nai.com

www.trendmicro.com

www.grisoft.com

securityresponse.symantec.com

symantec.com

sophos.com

mcafee.com

update.symantec.com

liveupdate.symantecliveupdate.com

viruslist.com

f-secure.com

kaspersky.com

kaspersky-labs.com

avp.com

nai.com

......

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项