病毒名称(中文):
病毒别名:
Email-Worm.Win32.Mytob.s[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
54989
影响系统:
Win9xWinNT
病毒行为:
这是一个通过电子邮件和系统漏洞传播的蠕虫病毒。该病毒可以通过Windows的本地安全认证服务远程缓冲区溢出漏洞(MS04-011)和DCOMRPC接口缓冲区溢出漏洞(MS03-026)来进行传播;病毒在某些特定的文件中收集邮件地址,再使用自己的SMTP引擎将病毒发送给这些邮件接收者。此外,该病毒还通过修改hosts文件来禁止用户访问某些闻名的反病毒网站。
1)释放多个病毒副本:
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
%System%\taskgmsr.exe
以及Worm.Mytob.f的一个副本:
C:\hellmsn.exe
2)建立一个互斥体H-E-L-L-B-O-T,防止病毒的多个实例同时运行。
3)将“"asdasd"="taskgmsr.exe"”添加到下列注册表中以便实现病毒的开机自启动:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_USERS\S-1-5-21-73586283-602609370-682003330-1000\SYSTEM\CurrentControlSet\Control\Lsa
4)通过修改hosts文件,禁止用户访问安全软件厂商的下列网站:
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.mcafee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.microsoft.com
www.trendmicro.com
5)在下列扩展名的文件中收集邮件地址:
.wab
.pl
.adb
.tbb
.dbx
.asp
.php
.sht
.htm
.txt
6)取下面的某一行做为邮件的正文:
Hereareyourbanksdocuments.
Theoriginalmessagewasincludedasanattachment.
Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment.
ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment.
Mailtransactionfailed.Partialmessageisavailable.