一、病毒标签：　

　　病毒名称：Net-Worm.Win32.Mytob.ch

　　病毒类型：网络蠕虫危害等级：高文件长度：237,568 字节感染系统：windows 98 及以上版本开发工具：Microsoft Visual C++ 6.0

　　命名对照:毒霸[Worm.Mytob.ch.237568]

　　二、病毒描述：　

　　该病毒属于网络蠕虫，是 Mytob 家族的一个变种。这种蠕虫主要通过发送含有病毒的 email 传播，它也会利用微软 windows 即插即用服务 (MS05-039) 漏洞来传播。病毒运行后首先创建互斥体， 使病毒的多个副本不会在同一时间运行。然后修改注册表文件，添加自身到启动项，复制原病毒体到 %System32%per.exe 。病毒还会开启本地 TCP 33333 端口，开启 ftp 服务， 然后便随机扫描网络，向目标 IP 的 TCP 445 端口发送请求，待连接成功后便会从感染主机下载原病毒体到目标主机上运行。病毒还具有 IRC 控制功能，使得恶意者能够远程控制感染主机。病毒还会修改 %System%driversetchosts 文件，阻止用户访问某些反病毒及安全网站。

　　三、行为分析：　

　　1 、病毒创建互斥体 "B-O-T-Z-O-R" ，使病毒的多个副本不会在同一时间运行。2 、修改注册表文件，将自身添加到启动项，以达到随系统启动的目的。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunWINDOWS SYSTEM键值 : 字串 : "per.exe"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesWINDOWS SYSTEM键值 : 字串 : "per.exe"3 、复制原病毒体到 %System32%per.exe注： '%System%' 是一个可变的路径。 Windows 2000 、 NT 、 XP 默认的系统安装路径是 C:WinntSystem32 ； 95 ， 98 和 ME 的是 C:WindowsSystem4 、 病毒修改 %System%driversetchosts 文件，添加以下内容，阻止用户访问下列反病毒及安全网站：127.0.0.1 rads.mcafee.com127.0.0.1 trendmicro.com127.0.0.1 pandasoftware.com127.0.0.1 www.pandasoftware.com127.0.0.1 www.trendmicro.com127.0.0.1 www.grisoft.com127.0.0.1 www.microsoft.com127.0.0.1 microsoft.com127.0.0.1 www.virustotal.com127.0.0.1 virustotal.com127.0.0.1 kaspersky.com127.0.0.1 kaspersky-labs.com127.0.0.1 www.avp.com127.0.0.1 www.kaspersky.com127.0.0.1 avp.com127.0.0.1 www.networkassociates.com127.0.0.1 www.paypal.com127.0.0.1 paypal.com127.0.0.1 moneybookers.com127.0.0.1 www.moneybookers.com… …5 、病毒还具有 IRC 信道功能，能够受到远程控制者的恶意操作。6 、 病毒利用微软 windows 即插即用服务 (MS05-039) 漏洞来传播， 病毒会开启本地 TCP 33333 端口，开启 ftp 服务， 而后便随机扫描网络，向目标 IP 的 TCP 445 端口发送请求，待连接成功后开启目标主机的 TCP 端口，最后从感染主机下载原病毒体到目标主机上运新。7 、病毒也可以通过发送带有病毒附件的 email 来传播，病毒通过扫描 windows 地址簿及扩展名如下的文件，查找其中的 email 地址。 adbhaspdcgildbxnhtmb htmljsplphpqplshtl tbbgtxtwabxmls

　　当邮件地址包含如下字符串时，病毒将不会发送邮件： kernellinuxnonobodynodomainoonesomebody… … someonesophospamspmusenetutgers.edwebmaster webmaster.gov.milabuseaccounacketst

　　其中，病毒邮件主题可能为： Confirmed...… … Important! Warning!!

　　病毒邮件正文可能为： hey!!0K here is it! looooool　That's your photo!!?　

　　病毒附件名可能为： picturesamplewebcam_photo your_photoimageloool photo

　　病毒附件的扩展名可能为： pifscr batcmd exe

　　病毒邮件的用户名可能为： josejoshjuliekevinleo… … lindamariamarymattmichael michaelmikepaulpeterray