基本介紹
病毒類型: 蠕蟲
其它中文命名:W32.Mytob.U@mm(賽門鐵克)、
Net-Worm.Win32.Mytob.q(卡巴斯基)、
WORM_MYTOB.X(趨勢)、
W32/Mytob.q@MM(NAI)
病毒介紹:
1、生成病毒檔案
蠕蟲運行後,在%System%資料夾下棕籃組拔生成自身的拷貝,名稱為TASKGMR.EXE或是NETHELL.EXE。還會在C:\目錄下生成FUNNY_PIC.SCR、MY_PHOTO2005.SCR 和SEE_THIS!!.SCR這三個檔案。(其中,%System%在Windows 95/98/Me 下為C:\Windows\System,在灑嘗拔Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)。
2、修改註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加
WINTASK = "taskgmr.exe";
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices 下添加 WINTASK = "taskgmr.exe" ;
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加
WINTASK = "taskgmr.exe"。
3、通過電子郵件進行傳播
該變種在被感染用戶的系統內搜尋所有擴展名為.wab,.asp,.htm,.adb等的檔案,並從中尋找合法電子郵射檔求件地址,並使用的自帶的SMTP向這些地址傳送帶毒的電子郵件。
4、利用系統漏洞
該變種利用微軟已經公布的兩個重要的系統漏洞RPC/DCOM和LSASS進行傳播。
5、後門能力
該變種在被感染的系統中通過連線埠進行偵聽,以連線Internet Relay Chat (IRC)服務。一旦服務建立成功,遠程用戶就會對被感染的系統通過一些命令進行控制,如下載檔案,直接運行檔案,對蠕蟲進行升級、修改等。蠕蟲還會利用一個隨應盼多愚機連線埠創建一個ftp服務。
6、編輯HOSTS檔案
該變種會編輯系統驗朽謎的HOSTS檔案,該檔案里包含有所有IP位址的主機名。目的是阻止被感染系統的用戶訪問一些反病毒網站。
清除該病毒的相關操作:
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE,在Windows NT/2000/XP系統中,多姜判同時按下CTRL+SHIFT+ESC,選擇“任務管理器——〉進程”,選中正在運行的進程“coolbot.exe”,並終止其運行。
2、註冊表的恢復
3、刪除病毒檔案
點擊“開始——〉查找——〉檔案和資料夾”,查找檔案“coolbot.exe”,並將找到的檔案刪婚朽除。
4、刪除、修改被編輯的系統HOSTS檔案
5、運行防毒軟體對系統進行全面的病毒查殺
