本周提醒广大用户警惕Mytob病毒家族的最新变种：Net-Worm.Win32.Mytob.dc，近期该变种大有流行的趋势，特此提醒广大用户，病毒的传播方式同该家族的其他变种相似，病毒会通过查找某些扩展名的文件，获取其中的email地址继而发送含有病毒附件的邮件。病毒运行后会复制原病毒副本到%SYSTEM%\winmonz32.exe，并释放5个病毒相关文件到%SYSTEM%目录下，该病毒还会对注册表文件进行操作，添加启动项，添加服务。

　复制、释放以下文件：

　　%SYSTEM%\winmonz32.exe
　　%SYSTEM%\packet.dll
　　%SYSTEM%\wpcap.dll
　　%SYSTEM%\wanpacket.dll
　　%SYSTEM%\drivers\npf.sys
　　%SYSTEM%\msdirect.sys

　修改注册表文件：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\RunServices，
　　键值：字串："RunDLL32"="winmonz32.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run，
　　键值：字串："RunDLL32"="winmonz32.exe"

　详细分析请看（Net-Worm.Win32.Mytob.dc分析）

　清除方案：

　1、重启动后进入安全模式，删除病毒释放的文件：
　　%SYSTEM%\winmonz32.exe
　　%SYSTEM%\msdirect.sys
　　%SYSTEM%\packet.dll
　　%SYSTEM%\wpcap.dll
　　%SYSTEM%\wanpacket.dll
　　%SYSTEM%\drivers\npf.sys

　2．删除注册表文件中如下键值：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　\Services\NPF
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　\Services\msdirect
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
　　\Services\Logistics Manager
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\RunServices，
　　键值：字串："RunDLL32"="winmonz32.exe"
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
　　\CurrentVersion\Run，
　　键值：字串："RunDLL32"="winmonz32.exe"

　因此安天应急处理小组郑重提醒用户的是：

　1．即时安装系统和应用程序补丁，很多病毒是通过系统漏洞在用户访问网页后主动执行的，而即时打补丁可以使漏洞失效。

　2．不要轻易打开来历不明的邮件，尤其是邮件的附件，防止系统被邮件蠕虫、网络蠕虫等病毒感染，不要随便登录不明网站。

　3．即时安装木马防线，木马防线全自动升级，可以为你的系统提供透明的保护。

　　木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。

• 高效木马查杀　
  采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
  
• 系统安全管理
  提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
  
• 实时网络防护
  全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

　　安天信息技术有限责任公司（中国安天实验室,Antiy Labs），是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索，持续研发，拥有自有核心技术和产品。