 MYTOB是一个通过电子邮件传播的邮件蠕虫。它有多个变种。
最新的变种symantec定义为W32.Mydoom.BQ@mm
趋势科技定义为WORM_MYTOB.EG
这个蠕虫可以常驻内存,使用内置的SMTP引擎发送带有自身拷贝的邮件进行传播。
蠕虫发送的邮件特征如下:
主题: (以下其中之一)
- IMPORTANT Please Validate Your Email Account
- IMPORTANT Your Account Has Been Locked
- {random}
- Email Account Suspension
- Notice: Last Warning
- Notice:*Your email account will be suspended*
- Security measures
- Your email account access is restricted
- Your Email Account is Suspended For Security Reasons
正文: (以下其中之一)
- Account Information Are Attached!
- Once you have completed the form in the attached file , your account records
will not be interrupted and will continue as normal.
- please look at attached document.
- To safeguard your email account from possible termination, please see the
attached file.
- To unblock your email account acces, please see the attachement.
- We have suspended some of your email services, to resolve the problem
you should read the attached document.
- {random}
附件: (文件名是以下其中之一)
- {random}
- document_full
- email-doc
- email-info
- email-text
- IMPORTANT
- information
- info-text
- your_details
(扩展名是以下其中之一)
- BAT
- CMD
- EXE
- PIF
- SCR
- ZIP
蠕虫还会根据收件人的邮件服务器域名和下列之一的字符串组合伪造源发地址:
- adam
- Admin
- Administrator
- alex
- alice
- andrew
- anna
- bill
- bob
- brenda
- brent
- brian
- claudia
- dan
- dave
- david
- debby
- fred
- george
- helen
- Hostmaster
- Info
- jack
- james
- jane
- jerry
- jim
- jimmy
- joe
- john
- jose
- julie
- kevin
- leo
- linda
- Mail
- maria
- mary
- matt
- michael
- mike
- peter
- ray
- Register
- robert
- sam
- serg
- Service
- smith
- Staff
- stan
- steve
- Support
- ted
- tom
- Webmaster
也就是说,如果是一个xxx@mails.tsinghua.edu.cn的用户收到这种带病毒的邮件,那这封信的源
发地址很可能被伪造成support@mails.tsinghua.edu.cn或者Admin@mails.tsinghua.edu.cn等。。。
建议用户收到此种类型的邮件后千万不要运行附件,请直接删除邮件!
另外安装了防毒软件的用户请尽快升级您的病毒库文件到最新版本。
该病毒具有后门功能,可以让远程用户在受感染的系统上执行恶意指令。该功能使远程用户可以
对受感染的系统进行虚拟控制,从而危害系统的安全。
另外,病毒还会通过对本机的重定向阻止用户访问某些防病毒和安全网站。
一旦感染了这种病毒,您可以使用以下方法清除:
方法一:手动清除
1、重启进入安全模式
2、从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
打开注册表编辑器。点击开始>运行,输入REGEDIT,按Enter
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
在右边的面板中,找到并删除如下项目:
Internet Services = "internet.exe"
在左边的面板中,双击:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>RunServices
在右边的面板中,找到并删除如下项目:
Internet Services = "internet.exe"
3、恢复被修改的注册表项目
仍旧在注册表编辑器中,可在左边面板中找到如下注册键
HKEY_LOCAL_MACHINE>System>CurrentControlSet
Services>SharedAccess
在右边的面板中,找到并修改如下项目:
FROM: Start = "4"
TO: Start = "2"
关闭注册表编辑器
4、恢复Windows的HOSTS文件
使用默认的文本编辑器打开如下文件:
%System%\Drivers\etc\Hosts
(注意: %System%是Windows的系统文件夹,通常是 C:\Windows\System或C:\WINNT\System32。 )
找到并删除如下的行:
127.0.0.1 avp.com
127.0.0.1 ca.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 rads.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 sophos.com
127.0.0.1 symantec.com
127.0.0.1 trendmicro.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.avp.com
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.viruslist.com
保存文件后关闭。
5、重新启动系统后将杀毒软件病毒库升级到最新,然后进行全盘扫描,扫描到的病毒直接选
择删除操作
方法二:使用专杀工具
symantec已经提供了专杀工具,你可以到我们网站上下载 FxMydoom.exe
|
