[转帖]警惕Mytob病毒家族的最新变种:Net-Worm.Win32.Mytob.dc
转帖:警惕Mytob病毒家族的最新变种:Net-Worm.Win32.Mytob.dc
来自安天实验室:
http://www.antiy.com/index.htm
内容:
本周提醒广大用户警惕Mytob病毒家族的最新变种:Net-Worm.Win32.Mytob.dc,近期该变种大有流行的趋势,特此提醒广大用户,病毒的传播方式同该家族的其他变种相似,病毒会通过查找某些扩展名的文件,获取其中的email地址继而发送含有病毒附件的邮件。病毒运行后会复制原病毒副本到%SYSTEM%\winmonz32.exe,并释放5个病毒相关文件到%SYSTEM%目录下,该病毒还会对注册表文件进行操作,添加启动项,添加服务。
复制、释放以下文件:
%SYSTEM%\winmonz32.exe
%SYSTEM%\packet.dll
%SYSTEM%\wpcap.dll
%SYSTEM%\wanpacket.dll
%SYSTEM%\drivers\npf.sys
%SYSTEM%\msdirect.sys
修改注册表文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices,
键值:字串:"RunDLL32"="winmonz32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,
键值:字串:"RunDLL32"="winmonz32.exe"
详细分析请看(这里是一个这个病毒分析的链接)
清除方案:
1、重启动后进入安全模式,删除病毒释放的文件:
%SYSTEM%\winmonz32.exe
%SYSTEM%\msdirect.sys
%SYSTEM%\packet.dll
%SYSTEM%\wpcap.dll
%SYSTEM%\wanpacket.dll
%SYSTEM%\drivers\npf.sys
2.删除注册表文件中如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\NPF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\msdirect
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\Logistics Manager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices,
键值:字串:"RunDLL32"="winmonz32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run,
键值:字串:"RunDLL32"="winmonz32.exe"
因此安天应急处理小组郑重提醒用户的是:
1.即时安装系统和应用程序补丁,很多病毒是通过系统漏洞在用户访问网页后主动执行的,而即时打补丁可以使漏洞失效。
2.不要轻易打开来历不明的邮件,尤其是邮件的附件,防止系统被邮件蠕虫、网络蠕虫等病毒感染,不要随便登录不明网站。
3.即时安装木马防线,木马防线全自动升级,可以为你的系统提供透明的保护。
附:
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net
木马防线2005+:
木马防线2005+是安天实验室出品的个人信息安全产品,是木马防线2005的全新升级版,具备高效木马查杀、系统安全管理、实时网络防护等功能。
高效木马查杀:
采用高速智能检测引擎(SVE),能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等,尤其对各类未知有害程序具有极高的检出率。
系统安全管理:
提供了丰富的安全管理工具,能够修复IE和注册表设置,管理系统中各项任务、进程、服务、共享资源和自启动项,监控网络的连接状态和开启的端口。
实时网络防护:
全新的安天盾防火墙功能更加强大,能够实时监控您的系统和网络,随时发现活动的木马等可疑程序,并能查封指定IP地址和端口,有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。 |
