IM-Worm.Win32.Sumom.a:病毒簡述,行為分析,清除方案,

該病毒屬蠕蟲類，病毒主要通過MSN傳播，也可以複製原病毒副本到已分享檔案夾下，病毒運行後複製原病毒副本到%System%和%Windows%目錄下，修改註冊表檔案，添加啟動項，病毒還會創建一個互斥體，防止該病毒的多個副本同時運行。病毒還會遍歷系統當前進程，嘗試終止某些反病毒及安全類、資源分析類軟體的進程。修改%System%\drivers\etc\hosts檔案，阻止用戶訪問某些網站，該病毒對用戶有一定危害。

基本介紹

中文名：IM-Worm.Win32.Sumom.a
病毒類型：蠕蟲
公開範圍：完全公開
危害等級：中
檔案長度：155,648 位元組
感染系統：Windows 98 及以上版本
開發工具：Microsoft Visual Basic 5.0
命名對照：Symentec[無]

病毒簡述,行為分析,清除方案,

病毒簡述

病毒名稱： IM-Worm.Win32.Sumom.a

檔案MD5： 00BC44BD52D7CE5FF19A2D02606A45D4

Mcafee[無]

行為分析

1、創建一個互斥體'-F-u-c-k-'-Y-o-u-' 防止該病毒的多個副本同時運行。

2、修改註冊表檔案：

HKEY_LOCAL_METHINE\Software\Microsoft\Windows

\CurrentVersion\Run\

HKEY_LOCAL_METHINE\Software\Microsoft\Windows

\CurrentVersion\RunServices\

HKEY_CURRENT_USER\Microsoft\Windows\CurruntVersion\Run\

HKEY_LOCAL_METHINE\Software\Microsoft\Windows

\CurrentVersion\policies\Explorer\Run\

HKEY_CURRENT_USER\Software\Microsoft\Windows

\CurrentVersion\policies\Explorer\Run\

3、病毒運行後複製原病毒副本到：

%System%\formatsys.exe

%System%\serbw.exe

%Windows%\msmbw.exe

4、遍歷系統當前進程，嘗試終止以下反病毒及安全類、資源分析類軟體的進程：

avengine.exe

apvxdwin.exe

autodown.exe

autotrace.exe

avwupd32.exe

avxquar.exe

bawindo.exe

nisum.exe

firewall.exe

frameworkservice.exe

icssuppnt.exe

icsupp95.exe

mcshield.exe

mcupdate.exe

mcvsescn.exe

mcvsrte.exe

mcvsshld.exe

navapsvc.exe

navapw32.exe

nopdb.exe

nprotect.exe

pavsrv50.exe

rtvscan.exe

blackd.exe

ccapp.exe

ccevtmgr.exe

ccproxy.exe

ccpxysvc.exe

cfiaudit.exe

escanhnt.exe

rulaunch.exe

savscan.exe

shstat.exe

vshwin32.exe

vsstat.exe

vstskmgr.exe

cmd.exe

msconfig.exe

msdev.exe

ollydbg.exe

peid.exe

petools.exe

w32dasm.exe

winhex.exe

wscript.exe

......

5、病毒主要通過MSN和P2P軟體，已分享檔案夾傳播：

其中，通過msn傳播時的病毒名可能為：

Crazy frog gets killed by train!.pif

See my lesbian friends.pif

……

複製原病毒副本到以下資料夾中：

\My Shared Folder

\Program Files\eMule\Incoming

\Documents and Settings\Shared

病毒名可能為：

Messenger Plus! 3.50.exe

MSN nudge bomb.exe

……

6、修改%System%\drivers\etc\hosts檔案，阻止用戶訪問以下網站：

www.symantec.com

www.sophos.com

www.mcafee.com

www.viruslist.com

www.f-secure.com

www.avp.com

www.kaspersky.com

www.networkassociates.com

www.ca.com

www.my-etrust.com

www.nai.com

www.trendmicro.com

www.grisoft.com

securityresponse.symantec.com

symantec.com

sophos.com

mcafee.com

update.symantec.com

liveupdate.symantecliveupdate.com

viruslist.com

f-secure.com

kaspersky.com

kaspersky-labs.com

avp.com

nai.com

......

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

IM-Worm.Win32.Sumom.a

基本介紹

病毒簡述

行為分析

清除方案

相關詞條

熱門詞條