国家计算机病毒中心发现蠕虫病毒新变种 需谨防

时间: 2005-04-11 09:01:53    来自:新华网
 

    新华网天津4月10日电(梁宏、张建新)国家计算机病毒应急处理中心通过对互联网的监测,发现了一个蠕虫的新变种Worm_Mytob.AB,提醒广大计算机用户谨防。

    应急中心通过分析处理发现,该变种和早期的变种一样,都是通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮
件。该变种会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站,远程控制者还会对受感染的机器进行下载、运行病毒文件的操作。

    蠕虫详细信息如下:

    病毒名称:Worm_Mytob.AB

    病毒类型: 蠕虫

    其他中文命名: W32 [email protected] (赛门铁克)、

    Worm.Mytob.s(瑞星)、

    Net-Worm.Win32.Mytob.q(卡巴斯基)、

    WORM_MYTOB.X(趋势)、

    W32/ [email protected] (NAI)

    感染系统:Windows 9X/Me/NT/2000/XP

 
 病毒介绍:

    该变种通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。

    1、生成病毒文件

    蠕虫运行后,在%System%文件夹下生成自身的拷贝,名称为TASKGMR.EXE或是NETHELL.EXE。还会在C:\目录下生成FUNNY_PIC.SCR、MY_PHOTO2005.SCR 和SEE_THIS!!.SCR这三个文件。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)。

    2、修改注册表项

    蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加WINTASK=“taskgmr.exe”;在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices 下添加 WINTASK=“taskgmr.exe”;在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加WINTASK=“taskgmr.exe”。

    3、通过电子邮件进行传播

    该变种在被感染用户的系统内搜索所有扩展名为.wab,.asp,.htm,.adb等的文件,并从中寻找合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。

    4、利用系统漏洞

    该变种利用微软已经公布的两个重要的系统漏洞RPC/DCOM和LSASS进行传播。

    5、后门能力

    该变种在被感染的系统中通过端口进行侦听,以连接Internet Relay Chat (IRC)服务。一旦服务建立成功,远程用户就会通过一些命令对被感染的系统进行控制,如下载文件,直接运行文件,对蠕虫进行升级、修改等。蠕虫还会利用一个随机端口创建一个ftp服务。

    6、编辑HOSTS文件

    该变种会编辑系统的HOSTS文件,该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站。

    清除该病毒的相关操作:

    1、终止病毒进程

    在Windows9x/ME系统,同时按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC,选择“任务管理器--〉进程”,选中正在运行的进程“coolbot.exe”,并终止其运行。

    2、注册表的恢复

    点击“开始--〉运行”,输入regedit,运行注册表编辑器,依次找到对应的注册表项,并删除面板右侧的HELLBOT3= “coolbot.exe”键值。

    3、删除病毒文件

    点击“开始--〉查找--〉文件和文件夹”,查找文件“coolbot.exe”,并将找到的文件删除。

    4、删除、修改被编辑的系统HOSTS文件

    5、运行杀毒软件对系统进行全面的病毒查杀。

 
期期必出30码网站