|
本周提醒广大用户注意Mytob病毒家族的最新变种:Net-Worm.Win32.Mytob.w ,该病毒的传播方式为:利用微软MS04-011传播,利用发送含有病毒附件的邮件传播。病毒盗用windows JPG图表,诱使用户点击,病毒运行后会释放一些病毒文件到%homedriver%下及%system%目录下,修改注册表文件,添加病毒副本到启动项,达到随系统启动的目的。病毒还会来接到IRC服务器,等待并接受恶意用户的控制。病毒还会修改感染系统的%System%\drivers\etc\hosts 文件,阻止用户访问某些反病毒及安全类网站,尽量阻止用户清除该病毒。
首先病毒会释放以下病毒文件:
%System%\XpFirewall.exe
%homedriver%\funny_pic.scr
%homedriver%\my_photo2005.scr
%homedriver%\see_this!!.scr
%homedriver%\hellmsn.exe |
Net-Worm.Win32.Mytob.w
Net-Worm.Win32.Mytob.w
Net-Worm.Win32.Mytob.w
Net-Worm.Win32.Mytob.w
Net-Worm.Win32.Mytob.f |
修改注册表文件,在以下位置新建键值:
HKEY_LOCAL_METHINE\Software\Microsoft
\Windows\CurrentVersion\Run
键值:字串:"Windows Service XP"="XpFirewall.exe"
HKEY_LOCAL_METHINE\Software\Microsoft
\Windows\CurrentVersion\RunServices
键值:字串:"Windows Service XP"="XpFirewall.exe"
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
键值:字串:"Windows Service XP"="XpFirewall.exe"
HKEY_LOCAL_METHINE\SYSTEM\CurrentControlSet\Control\Lsa
键值:字串:"Windows Service XP"="XpFirewall.exe"
......
修改 %System%\drivers\etc\hosts 文件,在hosts文件中添加以下内容,阻止用户访问以下网站:
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
......
病毒可以通过发送含有病毒附件的邮件进行传播,其中:
病毒邮件的发送者可能为:
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
lolita
......
病毒邮件标题可能为:
Good day
Hello
Mail Delivery System
Mail Transaction Fai
......
病毒邮件内容可能为:
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Here are your banks documents.
......
病毒附件名可能为:
doc
document
file
message
readme
test
......
详细分析请看:Net-Worm.Win32.Mytob.w分析报告
|
内容:
病毒上报信箱: