病毒名稱 麥托變種EN 病毒分類 Windows病毒
危害程度 中 病毒大小 0 KB
病毒專殺工具下載地址:
病毒簡介:
病毒分類 WINDOWS下的PE病毒
病毒名稱 Worm.Mytob.en
別 名 麥托變種EN
依賴系統 WIN9X/NT/2000/XP
傳播途徑 通過郵件傳播
行為類型 WINDOWS下的木馬程式
感 染 蠕蟲病毒
一個使用VC編寫的蠕蟲病毒(upx壓縮)
病毒行為:
病毒運行後將自己複製到%system%目錄下檔案名稱為:Lien Van de Kelder.exe
並在註冊表:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
中加入自己的鍵值:
"http://www.lienvandekelder.be" = "Lien Van de Kelder.exe"
以達到隨系統自啟動的目的.
隨後病毒實現以下功能.
1.進程監控:
病毒遍歷系統進程例表將和病毒體內相符的進程結束.
ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
ALEVIR.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AU.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGW.EXE
AVKSERV.EXE
AVKSERVICE.EXE
AVKWCTl9.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVSYNMGR.EXE
....
2.修改hosts檔案
病毒將在hosts檔案中加入以下項.使這些網站指127.0.0.1阻止用戶訪問這些網站
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 customer.symantec.com
...
3.MircBot
病毒登錄Mirc伺服器方便病毒作者對中了病毒的系統進行控制.
4.郵件傳播
