W32.Mytob.AK@mm
2008-02-23 09:33:49来源:互联网 阅读 ()
病毒名称:
W32.Mytob.AK@mm
类别: 邮件病毒
病毒资料:
该病毒长度 54,784 字节,感染windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP系统。它是一个复合型邮件病毒,自带SMTP邮件发送引擎,能够通过搜索计算机中的邮件地址,发送自身,它利用两个漏洞进行传播,分别是DCOM RPC(参见微软安全公告MS03-026 http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx)
和微软本地安全认证服务的远程缓冲区溢出(参见微软安全公告MS04-011 http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx ),当收到、打开此病毒时,有以下危害:
A 复制自身到以下位置
系统目录\msmgrxp.exe
系统目录\bingoo.exe
C:\funny_pic.scr
C:\see_this!!.scr
C:\my_photo2005.scr
B 创建以下文件:
C:\hellMSN.exe 这是病毒 W32.Mytob.L@mm
C 病毒创建注册表项,使得每次开机病毒自动执行取得控制权。
注册表项:"WINTASK" = "msmgrxp.exe"
注册表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\OLE
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
病毒不断检查这些注册表值,在删除后马上恢复。
D 每次执行时,病毒创建系统信号量"H-E-L-L-B-O-T"作为自身识别感染标志
E 从以下位置搜索邮件地址:
Windows目录\Temporary Internet Files
用户配置文件目录\Local Settings\Temporary Internet Files
系统目录
F 从磁盘C到Z中搜索以下扩展名文件中的邮件地址
.adb*
.ASP*
.dbx*
.htm*
.PHP*
.pl
.sht*
.tbb*
.txt
.wab*
G 病毒发送自身到上述找到的邮件地址,内容为
From:(发自)
为以下之一:
adam
alex
andrew
anna
bill
bob
brenda
brent
brian
britney
bush
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
juliekevin
leo
linda
lolita
madmax
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
从以下的主机:
aol.com
cia.gov
fbi.gov
hotmail.com
juno.com
msn.com
yahoo.com
并且病毒也会使用从计算机中找到的地址作为发信地址
Subject:(标题)
以下之一
hello
Good Day
Error
Mail Delivery System
Mail Transaction Failed
Server Report
Status
(空白)
(随机字符)
Message:(正文)
以下之一
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The original message was included as an attachment.
Here are your banks documents
Attachment:(附件)
以下之一
body
data
doc
document
file
message
readme
test
text
[随机名称]
扩展名为以下之一
.pif
.scr
.exe
.bat
.cmd
病毒可能压缩附件为zip文件,带有一个.zip扩展名,这个zip文件还可能为复合扩展名,
第一扩展名为.doc, .htm, .txt,第二扩展名为 .exe, .pif, or .scr
H 病毒发送自身时避免以下地址:
abuse
accoun
acketst
admin
anyone
arin.
avp
bugs
ca
certific
contact
example
feste
fido
foo.
fsf.
gnu
gold-certs
help
info
Linux
listserv
me
no
nobody
noone
not
nothing
ntivi
page
postmaster
privacy
rating
root
samples
service
site
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:W32.Mytob.CF@mm
下一篇:W32/Bagle.AQ@mm
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
