Worm.Mytob.p

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

111616

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

Worm.Mytob.p是一个能大规模发送电子邮件的蠕虫病毒。该病毒能开启后门，并降低计算机的安全属性。

1，释放病毒到下列目录：

%System%\winsys32.exe

2，添加注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"WindowsSystem"="\winsys32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

"WindowsSystem"="\winsys32.exe"

3，添加注册表键值，禁用任务治理器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableTaskMgr"="1"

4，在机器上搜索电子邮件地址，并利用自带的SMTP引擎，把自身作为附件，发送出去。

5，邮件内容为:

From:

spm@[随机]

fcnz@[随机]

www@[随机]

secur@[随机]

abuse@[随机]

主题:

AccountAlert

内容:

DearValuedMember,

Accordingtoourtermsofservices,youwillhavetoconfirmyoure-mailbythefollowinglink,oryouraccountwillbesuspendedwithin24hoursforsecurityreasons.

http:///www.[DOMAIN]/confirm.php?account=[E-MAIL]

Afterfollowingtheinstructionsinthesheet,youraccountwillnotbeinterruptedandwillcontinueasnormal.

Thanksforyourattentiontothisrequest.Weapologizeforanyinconvenience.

Sincerely,AbuseDepartment

6,不发送邮件到含有下列字符串的地址:

mcafee

symantec

sophos

bitdefender

avg

kaspersky

avast

nod32

vba32

antivir

avira

cat-quickheal

clamav

drweb

f-prot

etrust

fortinet

ikarus

norman

panda

thehacker

ewido

等

7,关闭大量安全软件和常用软件

8,自动连接到下列地址,接受黑客命令:

**.thinki.co.uk:8585

9,修改host文件，阻止访问大量安全软件公司的网站

• ·Win32.Troj.Banker.pc
• ·Win32.Troj.QQMsgBook.g
• ·Win32.Troj.PSWQq.jm
• ·Win32.Brof.a
• ·Win32.Hack.PCYing
• ·Worm.Dark.e
• ·Win32.Troj.Downloader.a
• ·Win32.Troj.Fantast.b
• ·Win32.Troj.IEInjDowner.
• ·Win32.Troj.IEInjector.b