基本介紹
- 病毒名稱: Net-Worm.Win32.Mytob.cf
- 中文名稱: Mytob.cf變種
- 病毒類型:蠕蟲
- 開發工具: Microsoft Visual C++ 6.0
基本信息,行為分析,清除方案,
基本信息
病毒名稱: Net-Worm.Win32.Mytob.cf
中文名稱: Mytob.cf變種
病毒類型: 蠕蟲
檔案 MD5: 9C06D095B0D1BDB5ADED333F9882C83A
公開範圍: 完全公開
危害等級: 中
檔案長度: 15,386 位元組
感染系統: Windows 98 以上版本
開發工具: Microsoft Visual C++ 6.0
加殼類型: 未知殼
命名對照: Symentec[W32.Mytob.Ad@mm]
Mcafee[W32/Mydoom.gen@MM]
行為分析
1、病毒複製原病毒副本到 %system%\csm.exe
2、創建互斥體:B-O-T-Z-O-R,防止該病毒的多個副本同時運行。
3、修改註冊表:
達到隨系統啟動的目的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\csm Win Updates
鍵值: 字串: "csm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices\csm Win Updates
鍵值: 字串: "csm.exe"
禁止Windows 2000/XP中"SharedAccess"服務,修改:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
鍵值:字串:start = 4
4、修改%System%\drivers\etc\hosts檔案,阻止用戶訪問某些反病毒及安全類站點:
127.0.0.1 www.symantec.com
127.0.0.1securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.amazon.com
127.0.0.1 www.amazon.co.uk
127.0.0.1 www.amazon.ca
127.0.0.1 www.amazon.fr
127.0.0.1 www.paypal.com
127.0.0.1 paypal.com
127.0.0.1 moneybookers.com
127.0.0.1 www.moneybookers.com
127.0.0.1 www.ebay.com
127.0.0.1 ebay.com
5、開啟本地FTP服務,監聽本地33333連線埠,等待被溢出主機的聯接,並提供病毒副本下載。
6、病毒還具有IRC信道功能,病毒會嘗試連線wait.atillaekici.net,等待並接受惡意用戶的遠程控制,如上傳、下載、運行任意程式,蒐集感染主機信息等。
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
csm.exe
(2) 刪除病毒檔案:
%system%\csm.exe
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\csm Win Updates
鍵值: 字串: "csm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices\csm Win Updates
鍵值: 字串: "csm.exe"
