病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
52224
影响系统:
Win9xWinNT
病毒行为:
这是一个mytob的变种蠕虫,会搜索本地邮件地址,并发送垃圾邮件,造成网络堵塞,并把自身做为附件发送出去。一旦运行本病毒,本机会连接到irc聊天服务器上,接受对方控制,执行后门程序,窃取用户信息。病毒会屏蔽一些计算机安全公司网站,以防止用户升级;并避免向这些公司发送邮件,以防止对方得到病毒样本。
1,把自身拷贝到以下目录:
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
%system%\win32.exe
2,释放自身到以下目录:
C:\hellmsn.exe
并运行
3,修改注册表,在以下键中设置键“WIN32=win32.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
4,建立互斥量:H-E-L-L-B-O-T
保证单个进程的运行
5,修改host文件,阻止访问一些网站
127.0.0.1www.trendmicro.com
127.0.0.1www.trendmicro.com
127.0.0.1trendmicro.com"
127.0.0.1rads.mcafee.com"
127.0.0.1customer.symantec.com
127.0.0.1liveupdate.symantec.com
127.0.0.1www.nai.com
127.0.0.1update.symantec.com
127.0.0.1www.nai.com
127.0.0.1nai.com
127.0.0.1secure.nai.com
127.0.0.1dispatch.mcafee.com
127.0.0.1download.mcafee.com
127.0.0.1www.my-etrust.com
127.0.0.1www.my-etrust.com
127.0.0.1my-etrust.com
127.0.0.1mast.mcafee.com
127.0.0.1ca.com
127.0.0.1www.ca.com
127.0.0.1networkassociates.com
127.0.0.1www.networkassociates.com
127.0.0.1avp.com
127.0.0.1www.kaspersky.com
127.0.0.1www.avp.com
127.0.0.1kaspersky.com
127.0.0.1www.f-secure.com
127.0.0.1f-secure.com
127.0.0.1viruslist.com
127.0.0.1www.viruslist.com
127.0.0.1liveupdate.symantecliveupdate.com
127.0.0.1mcafee.com
127.0.0.1www.mcafee.com
127.0.0.1updates.symantec.com
127.0.0.1sophos.com
127.0.0.1www.symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1symantec.com
127.0.0.1www.sophos.com
127.0.0.1securityresponse.symantec.com
127.0.0.1www.symantec.com
127.0.0.1symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1www.symantec.com
6,建立线程搜索本机上的邮件地址,在具有以下扩展名的文件中查找:
wab
pl
tbb
dbx
asp
php
sht
htm
7,阻止发送到含有以下名称的电子邮件:
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
your
someone
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold_certs
page
8,阻止发送到含有以下域名的电子邮件:
foo
mil
gov
ruslis
nodomai
mydomai
example
inpris
borlan
sopho
panda
icrosof
syma
avp
edu
9,邮件内容会出现以下当中的一种:
"Guvfvfnzhygv-cnegzrffntrvaZVZRsbezng."
"Mailtransactionfailed.Partialmessageisavailable."
"ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment."
"Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment."
"Theoriginalmessagewasincludedasanattachment."
"Hereareyourbanksdocuments."
诱惑拥护打开带毒附件
10,连接到irc聊天服务器,等待远程控制命令。黑客可以控制本计算机,还可以命令本机下载并运行后门程序。
