病毒名称:
W32.Mytob.AK@mm
类别: 邮件病毒
病毒资料:
该病毒长度 54,784 字节,感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个复合型邮件病毒,自带SMTP邮件发送引擎,能够通过搜索计算机中的邮件地址,发送自身,它利用两个漏洞进行传播,分别是DCOM RPC(参见微软安全公告MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)
和微软本地安全认证服务的远程缓冲区溢出(参见微软安全公告MS04-011 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx ),当收到、打开此病毒时,有以下危害:
A 复制自身到以下位置
系统目录\msmgrxp.exe
系统目录\bingoo.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
B 创建以下文件:
C:\hellMSN.exe 这是病毒 W32.Mytob.L@mm
C 病毒创建注册表项,使得每次开机病毒自动执行取得控制权。
注册表项:"WINTASK" = "msmgrxp.exe"
注册表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
病毒不断检查这些注册表值,在删除后马上恢复。
D 每次执行时,病毒创建系统信号量"H-E-L-L-B-O-T"作为自身识别感染标志
E 从以下位置搜索邮件地址:
Windows目录\Temporary Internet Files
用户配置文件目录\Local Settings\Temporary Internet Files
系统目录
F 从磁盘C到Z中搜索以下扩展名文件中的邮件地址
.adb*
.ASP*
.dbx*
.htm*
.PHP*
.pl
.sht*
.tbb*
.txt
.wab*
G 病毒发送自身到上述找到的邮件地址,内容为
From:(发自)
为以下之一:
adam
alex
andrew
anna
bill
bob
brenda
brent
brian
britney
bush
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
juliekevin
leo
linda
lolita
madmax
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
从以下的主机:
aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com
并且病毒也会使用从计算机中找到的地址作为发信地址
Subject:(标题)
以下之一
hello
Good Day
Error
Mail Delivery System
Mail Transaction Failed
Server Report
Status
(空白)
(随机字符)
Message:(正文)
以下之一
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents
Attachment:(附件)
以下之一
body
data
doc
document
file
message
readme
test
text
[随机名称]
扩展名为以下之一
.pif
.scr
.exe
.bat
.cmd
病毒可能压缩附件为zip文件,带有一个.zip扩展名,这个zip文件还可能为复合扩展名,
第一扩展名为.doc, .htm, .txt,第二扩展名为 .exe, .pif, or .scr
H 病毒发送自身时避免以下地址:
abuse
accoun
acketst
admin
anyone
arin.
avp
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
Google
help
info
Linux
listserv
me
no
nobody
noone
not
nothing
ntivi
page
postmaster
privacy
rating
root
samples
service
site
soft
somebody
someone
submit
support
the.bat
unix
webmaster
you
your
病毒发送自身时避免以下主机:
.edu
.gov
.mil
arin.
berkeley
borlan
bsd
example
fido
foo.
fsf.
gnu
google
gov.
iana
ibm.com
icrosof
icrosoft
ietf
inpris
isc.o
isi.e
kernel
linux
math
mit.e
mozilla
mydomai
nodomai
panda
pgp
rfc-ed
ripe.
ruslis
secur
sendmail
sopho
syma
tanford.e
unix
usenet
utgers.ed
www
I 病毒会搜索SMTP服务器并且发送以下前缀的的病毒邮件
gate.
mail.
mail1.
mx.
mx1.
mxs.
ns.
relay.
smtp.
J 打开后门在 TCP 端口 10087
K 连接 148.244.74.234 地址的 IRC 通道,等待攻击者的以下命令
下载执行任意文件
执行其他IRC命令
重启计算机
L 它利用两个漏洞进行传播:
DCOM RPC(参见微软安全公告MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)
微软本地安全认证服务的远程缓冲区溢出(参见微软安全公告MS04-011 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx )
M 修改Hosts文件,屏蔽以下网站访问 (主要为安全网站)
www.symantec.com
securityresponse.symantec.com
symantec.com
www.sophos.com
sophos.com
www.McAfee.com
mcafee.com
liveupdate.symantecliveupdate.com
www.viruslist.com
viruslist.com
viruslist.com
f-secure.com
www.f-secure.com
kaspersky.com
www.avp.com
www.kaspersky.com
avp.com
www.networkassociates.com
networkassociates.com
www.ca.com
ca.com
mast.mcafee.com
my-etrust.com
www.my-etrust.com
download.mcafee.com
dispatch.mcafee.com
secure.nai.com
nai.com
www.nai.com
update.symantec.com
updates.symantec.com
us.mcafee.com
liveupdate.symantec.com
customer.symantec.com
rads.mcafee.com
trendmicro.com
www.microsoft.com
www.trendmicro.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2005-4-11
|
