安全响应·Security
病毒分析报告·Report

Net-Worm.Win32.Mytob.dc分析

2006 年 01 月 02 日
安天CERT

病毒标签:

病毒名称: Net-Worm.Win32.Mytob.dc
中文名称: Mytob变种
病毒类型: 网络蠕虫
文件 MD5: 70D7C9627D48006BEA607EB295D265F6
公开范围: 完全公开
危害等级: 中
文件长度: 48,640 字节
感染系统: Windows 2000 及以上版本
开发工具: Microsoft Visual C++6.0
加壳类型: PESpin
命名对照: Symentec[无]
      Mcafee[W32/Generic.b.worm]
病毒描述:

 该病毒属网络蠕虫类,为mytob病毒家族的一个变种,病毒运行后会释放5个文件到%system%目录下,病毒还会尝试停止并删除“Logistics Manager”服务,而后病毒又尝试创建随系统运行服务“Logistics Manager”=“%SYSTEM%\winmonz32.exe”。病毒还会修改注册表文件,添加到启动项服务项。病毒还会尝试连接到一个IRC服务器,受到恶意者对感染主机的控制。
行为分析:

1.停止并删除“Logistics Manager”服务;
 创建服务“Logistics Manager”=“%SYSTEM%\winmonz32.exe”;
 创建服务“misdirect”=“%SYSTEM%\misdirect.sys”,“Netgroup Packet  Filter”=“%SYSTEM%\drivers\npf.sys”

2. 病毒运行后会复制并释放以下文件:
 复制自身到:%SYSTEM%\winmonz32.exe
 释放文件到:%SYSTEM%\msdirect.sys
       %SYSTEM%\packet.dll
       %SYSTEM%\wpcap.dll
       %SYSTEM%\wanpacket.dll
       %SYSTEM%\drivers\npf.sys

3.创建注册表项,达到随系统启动的目的:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices,
键值:字串:"RunDLL32"="winmonz32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,
键值:字串:"RunDLL32"="winmonz32.exe"

4.病毒主动连接到一个IRC服务器,允许远端恶意用户对本地机器进行操作;
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。

清除方案:
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
 (1) 使用“任务管理器”关闭病毒进程
 (2) 进入安全模式,删除如下文件:
  %SYSTEM%\winmonz32.exe
  %SYSTEM%\msdirect.sys   
  %SYSTEM%\packet.dll
  %SYSTEM%\wpcap.dll
  %SYSTEM%\wanpacket.dll   
  %SYSTEM%\drivers\npf.sys
 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices
键值:字串:"RunDLL32"="winmonz32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,
键值:字串:"RunDLL32"="winmonz32.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NPF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\msdirect
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Logistics Manager

(4) 回到系统的正常模式
附:
  安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:

  木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。

  • 高效木马查杀 
    采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
  • 系统安全管理
    提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
  • 实时网络防护
    全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。
关于安天:
 

  安天信息技术有限责任公司(中国安天实验室,Antiy Labs),是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索,持续研发,拥有自有核心技术和产品。

   安天积极推动核心技术向关键产品的转化。安天目前是国内最大的独立可嵌入反病毒引擎和内容过滤体制供应商,在网络病毒监控设备、反木马与主机保护等领域,安天的相关产品也引领着市场需求与技术风潮。
[TOP]