Worm.Mytob.x

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

52224

影响系统:

Win9xWinNT

病毒行为:

这是一个mytob的变种蠕虫，会搜索本地邮件地址，并发送垃圾邮件，造成网络堵塞，并把自身做为附件发送出去。一旦运行本病毒，本机会连接到irc聊天服务器上，接受对方控制，执行后门程序，窃取用户信息。病毒会屏蔽一些计算机安全公司网站，以防止用户升级；并避免向这些公司发送邮件，以防止对方得到病毒样本。

1,把自身拷贝到以下目录：

C:\funny_pic.scr

C:\see_this!!.scr

C:\my_photo2005.scr

%system%\win32.exe

2,释放自身到以下目录：

C:\hellmsn.exe

并运行

3,修改注册表,在以下键中设置键“WIN32=win32.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\OLE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

4，建立互斥量：H-E-L-L-B-O-T

保证单个进程的运行

5,修改host文件，阻止访问一些网站

127.0.0.1www.trendmicro.com

127.0.0.1www.trendmicro.com

127.0.0.1trendmicro.com"

127.0.0.1rads.mcafee.com"

127.0.0.1customer.symantec.com

127.0.0.1liveupdate.symantec.com

127.0.0.1www.nai.com

127.0.0.1update.symantec.com

127.0.0.1www.nai.com

127.0.0.1nai.com

127.0.0.1secure.nai.com

127.0.0.1dispatch.mcafee.com

127.0.0.1download.mcafee.com

127.0.0.1www.my-etrust.com

127.0.0.1www.my-etrust.com

127.0.0.1my-etrust.com

127.0.0.1mast.mcafee.com

127.0.0.1ca.com

127.0.0.1www.ca.com

127.0.0.1networkassociates.com

127.0.0.1www.networkassociates.com

127.0.0.1avp.com

127.0.0.1www.kaspersky.com

127.0.0.1www.avp.com

127.0.0.1kaspersky.com

127.0.0.1www.f-secure.com

127.0.0.1f-secure.com

127.0.0.1viruslist.com

127.0.0.1www.viruslist.com

127.0.0.1liveupdate.symantecliveupdate.com

127.0.0.1mcafee.com

127.0.0.1www.mcafee.com

127.0.0.1updates.symantec.com

127.0.0.1sophos.com

127.0.0.1www.symantec.com

127.0.0.1securityresponse.symantec.com

127.0.0.1symantec.com

127.0.0.1www.sophos.com

127.0.0.1securityresponse.symantec.com

127.0.0.1www.symantec.com

127.0.0.1symantec.com

127.0.0.1securityresponse.symantec.com

127.0.0.1www.symantec.com

6,建立线程搜索本机上的邮件地址，在具有以下扩展名的文件中查找：

wab

pl

tbb

dbx

asp

php

sht

htm

7,阻止发送到含有以下名称的电子邮件：

info

samples

postmaster

webmaster

noone

nobody

nothing

anyone

your

someone

you

me

bugs

rating

site

contact

soft

no

somebody

privacy

service

help

not

submit

feste

ca

gold_certs

page

8,阻止发送到含有以下域名的电子邮件：

foo

mil

gov

ruslis

nodomai

mydomai

example

inpris

borlan

sopho

panda

icrosof

syma

avp

edu

9,邮件内容会出现以下当中的一种：

"Guvfvfnzhygv-cnegzrffntrvaZVZRsbezng."

"Mailtransactionfailed.Partialmessageisavailable."

"ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment."

"Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment."

"Theoriginalmessagewasincludedasanattachment."

"Hereareyourbanksdocuments."

诱惑拥护打开带毒附件

10，连接到irc聊天服务器，等待远程控制命令。黑客可以控制本计算机，还可以命令本机下载并运行后门程序。