病毒名称： Email-Worm.Win32.Doombot.a
病毒类型： 邮件蠕虫
文件 MD5： CB08EA6CA077D814541FB1FBE7B550BC
公开范围： 完全公开
危害等级： 中
文件长度： 50,176 字节
感染系统： windows 98 及以上版本呢
开发工具： 未知
加壳类型： PESpin
命名对照： Symentec[W32.Mytob!gen]
　　　　　 Mcafee[W32/Mytob.gen@MM]

　　该病毒属邮件蠕虫类，病毒主要通过发送含有病毒附件的邮件进行传播。病毒运行后会复制自身到系统目录下，修改注册表文件，达到随系统启动的目的，病毒通过查找感染系统中某些扩展名的文件获取其中的邮件地址，继而发送含有病毒附件的邮件。病毒还会查找当前系统的进程，若发现含有反病毒及安全软件的进程，便会终止这些进程。而后修改系统的%System%\drivers\etc\hosts文件，尽量阻止用户上报、升级反病毒数据库并清除病毒。该病毒对用户有一定的危害。

1、病毒运行后复制自身到：%System%\winsvc.exe

2、修改注册表文件，添加启动项，达到随系统启动的目的：

HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run
键值：字串："WINDOWS SVC"="winsvc.exe"
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices
键值：字串："WINDOWS SVC"="winsvc.exe"
停止Shared Access服务：
HKEY_LOCAL_METHINE\System\CurrentControlSet
\Services\SharedAccess
键值：字串："Start"="4"

3、修改%System%\drivers\etc\hosts文件，当用户访问以下反病毒及安全公司网站时，实际上访问的是本机：

127.0.0.1　　　　　　　www.symantec.com
127.0.0.1　　　　　　　securityresponse.symantec.com
127.0.0.1　　　　　　　symantec.com
127.0.0.1　　　　　　　www.sophos.com
127.0.0.1　　　　　　　sophos.com
127.0.0.1　　　　　　　www.mcafee.com
127.0.0.1　　　　　　　mcafee.com
127.0.0.1　　　　　　　liveupdate.symantecliveupdate.com
127.0.0.1　　　　　　　www.viruslist.com
127.0.0.1　　　　　　　viruslist.com
127.0.0.1　　　　　　　viruslist.com
127.0.0.1　　　　　　　f-secure.com
127.0.0.1　　　　　　　www.f-secure.com
127.0.0.1　　　　　　　kaspersky.com
127.0.0.1　　　　　　　kaspersky-labs.com
127.0.0.1　　　　　　　www.avp.com
127.0.0.1　　　　　　　www.kaspersky.com
127.0.0.1　　　　　　　avp.com
127.0.0.1　　　　　　　www.networkassociates.com
127.0.0.1　　　　　　　networkassociates.com
127.0.0.1　　　　　　　www.ca.com
127.0.0.1　　　　　　　ca.com
127.0.0.1　　　　　　　mast.mcafee.com
127.0.0.1　　　　　　　my-etrust.com
127.0.0.1　　　　　　　www.my-etrust.com
127.0.0.1　　　　　　　download.mcafee.com
127.0.0.1　　　　　　　dispatch.mcafee.com
127.0.0.1　　　　　　　secure.nai.com
127.0.0.1　　　　　　　nai.com
127.0.0.1　　　　　　　www.nai.com
127.0.0.1　　　　　　　update.symantec.com
127.0.0.1　　　　　　　updates.symantec.com
127.0.0.1　　　　　　　us.mcafee.com
127.0.0.1　　　　　　　liveupdate.symantec.com
127.0.0.1　　　　　　　customer.symantec.com
127.0.0.1　　　　　　　rads.mcafee.com
127.0.0.1　　　　　　　trendmicro.com
127.0.0.1　　　　　　　pandasoftware.com
127.0.0.1　　　　　　　www.pandasoftware.com
127.0.0.1　　　　　　　www.trendmicro.com
127.0.0.1　　　　　　　www.grisoft.com
127.0.0.1　　　　　　　www.microsoft.com
127.0.0.1　　　　　　　microsoft.com
127.0.0.1　　　　　　　www.virustotal.com
127.0.0.1　　　　　　　virustotal.com
127.0.0.1　　　　　　　www.amazon.com
127.0.0.1　　　　　　　www.amazon.co.uk
127.0.0.1　　　　　　　www.amazon.ca
127.0.0.1　　　　　　　www.amazon.fr
127.0.0.1　　　　　　　www.paypal.com
127.0.0.1　　　　　　　paypal.com
127.0.0.1　　　　　　　moneybookers.com
127.0.0.1　　　　　　　www.moneybookers.com
127.0.0.1　　　　　　　www.ebay.com
127.0.0.1　　　　　　　ebay.com

4、病毒还会查找含有以下字符串的进程，这些进程多为反病毒及安全软件。若找到则会终止这些进程：

Important Notification
Members Support
Notice of account limitation
Security measures
Warning Message: Your services near to be closed.
You have successfully updated your password
Your Account is Suspended
Your Account is Suspended For Security Reasons
Your new account password is approved
Your password has been successfully updated
Your password has been updated
Message body (chosen at random from the list below):
……

　附件名可能为以下列表中的一个，随机选取：

accepted-password
account-details
account-info
account-password
account-report
approved-password
document
email-details
email-password
important-details
new-password
password
readme
updated-password

　病毒附件扩展名可能为以下列表中的一个，随机选取：

bat
cmd
exe
pif
scr

　而病毒还含有第二扩展名，为：.scr,它同第一个扩展名之间有一些空格。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　　(1) 使用“任务管理器”关闭病毒进程
　　(2) 删除病毒文件：
　　　　%System%\winsvc.exe
　　(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
　　　　　HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　　键值：字串："WINDOWS SVC"="winsvc.exe"
　　　　　HKEY_LOCAL_METHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
　　　　键值：字串："WINDOWS SVC"="winsvc.exe"

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net