分享
 
 
 

W32.Mytob.AK@mm

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

W32.Mytob.AK@mm

类别: 邮件病毒

病毒资料:

该病毒长度 54,784 字节,感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个复合型邮件病毒,自带SMTP邮件发送引擎,能够通过搜索计算机中的邮件地址,发送自身,它利用两个漏洞进行传播,分别是DCOM RPC(参见微软安全公告MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)

和微软本地安全认证服务的远程缓冲区溢出(参见微软安全公告MS04-011 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx ),当收到、打开此病毒时,有以下危害:

A 复制自身到以下位置

系统目录\msmgrxp.exe

系统目录\bingoo.exe

C:\funny_pic.scr

C:\see_this!!.scr

C:\my_photo2005.scr

B 创建以下文件:

C:\hellMSN.exe 这是病毒 W32.Mytob.L@mm

C 病毒创建注册表项,使得每次开机病毒自动执行取得控制权。

注册表项:"WINTASK" = "msmgrxp.exe"

注册表值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\OLE

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

病毒不断检查这些注册表值,在删除后马上恢复。

D 每次执行时,病毒创建系统信号量"H-E-L-L-B-O-T"作为自身识别感染标志

E 从以下位置搜索邮件地址:

Windows目录\Temporary Internet Files

用户配置文件目录\Local Settings\Temporary Internet Files

系统目录

F 从磁盘C到Z中搜索以下扩展名文件中的邮件地址

.adb*

.ASP*

.dbx*

.htm*

.PHP*

.pl

.sht*

.tbb*

.txt

.wab*

G 病毒发送自身到上述找到的邮件地址,内容为

From:(发自)

为以下之一:

adam

alex

andrew

anna

bill

bob

brenda

brent

brian

britney

bush

claudia

dan

dave

david

debby

fred

george

helen

jack

james

jane

jerry

jim

jimmy

joe

john

jose

juliekevin

leo

linda

lolita

madmax

maria

mary

matt

michael

mike

peter

ray

robert

sam

sandra

serg

smith

stan

steve

ted

tom

从以下的主机:

aol.com

cia.gov

fbi.gov

hotmail.com

juno.com

msn.com

yahoo.com

并且病毒也会使用从计算机中找到的地址作为发信地址

Subject:(标题)

以下之一

hello

Good Day

Error

Mail Delivery System

Mail Transaction Failed

Server Report

Status

(空白)

(随机字符)

Message:(正文)

以下之一

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

The original message was included as an attachment.

Here are your banks documents

Attachment:(附件)

以下之一

body

data

doc

document

file

message

readme

test

text

[随机名称]

扩展名为以下之一

.pif

.scr

.exe

.bat

.cmd

病毒可能压缩附件为zip文件,带有一个.zip扩展名,这个zip文件还可能为复合扩展名,

第一扩展名为.doc, .htm, .txt,第二扩展名为 .exe, .pif, or .scr

H 病毒发送自身时避免以下地址:

abuse

accoun

acketst

admin

anyone

arin.

avp

bugs

ca

certific

contact

example

feste

fido

foo.

fsf.

gnu

gold-certs

Google

help

info

Linux

listserv

me

no

nobody

noone

not

nothing

ntivi

page

postmaster

privacy

rating

root

samples

service

site

soft

somebody

someone

submit

support

the.bat

unix

webmaster

you

your

病毒发送自身时避免以下主机:

.edu

.gov

.mil

arin.

berkeley

borlan

bsd

example

fido

foo.

fsf.

gnu

google

gov.

iana

ibm.com

icrosof

icrosoft

ietf

inpris

isc.o

isi.e

kernel

linux

math

mit.e

mozilla

mydomai

nodomai

panda

pgp

rfc-ed

ripe.

ruslis

secur

sendmail

sopho

syma

tanford.e

unix

usenet

utgers.ed

www

I 病毒会搜索SMTP服务器并且发送以下前缀的的病毒邮件

gate.

mail.

mail1.

mx.

mx1.

mxs.

ns.

relay.

smtp.

J 打开后门在 TCP 端口 10087

K 连接 148.244.74.234 地址的 IRC 通道,等待攻击者的以下命令

下载执行任意文件

执行其他IRC命令

重启计算机

L 它利用两个漏洞进行传播:

DCOM RPC(参见微软安全公告MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)

微软本地安全认证服务的远程缓冲区溢出(参见微软安全公告MS04-011 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx )

M 修改Hosts文件,屏蔽以下网站访问 (主要为安全网站)

www.symantec.com

securityresponse.symantec.com

symantec.com

www.sophos.com

sophos.com

www.McAfee.com

mcafee.com

liveupdate.symantecliveupdate.com

www.viruslist.com

viruslist.com

viruslist.com

f-secure.com

www.f-secure.com

kaspersky.com

www.avp.com

www.kaspersky.com

avp.com

www.networkassociates.com

networkassociates.com

www.ca.com

ca.com

mast.mcafee.com

my-etrust.com

www.my-etrust.com

download.mcafee.com

dispatch.mcafee.com

secure.nai.com

nai.com

www.nai.com

update.symantec.com

updates.symantec.com

us.mcafee.com

liveupdate.symantec.com

customer.symantec.com

rads.mcafee.com

trendmicro.com

www.microsoft.com

www.trendmicro.com

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2005-4-11

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有