病毒标签

　　病毒名称： Net-Worm.Win32.Mytob.bf

　　病毒类型： 网络蠕虫

　　危害等级： 高

　　文件长度： 61,952 字节

　　感染系统： windows 98 及以上版本

　　开发工具： Microsoft Visual C++ 6.0

　　加壳类型： UPX

　　病毒描述

　　该病毒属网络蠕虫类，是Mybot病毒家族的一个变种。该病毒主要通过EMAIL传播，并且具有IRC bot功能，，允许未经授权的用户进入受感染的机器。病毒运行后复制自身到%System%LienVdK.exe，病毒还会修改注册表文件，病毒还会创建一个互斥体。病毒主要通过搜索Windows地址簿、临时文件、本地硬盘下的某些扩展名文件中的email地址，发送垃圾邮件。结束反病毒及安全软件的进程。病毒还会修改%System%driversetchosts文件，阻止用户访问某些网站。

　　行为分析

　　1、病毒运行后会创建互斥体："Vande-Kelder-Lien"，以避免病毒的多个副本同时运行。

　　2、修改注册表：

　　HKEY_LOCAL_METHINESOFTWAREMicrosoftWindowsCurrentVersionRun

　　键值：字串：http://www.lienvandekelder.be = "LienVdK.exe"

　　HKEY_LOCAL_METHINE SOFTWAREMicrosoftWindowsCurrentVersionRunServices

　　键值：字串：http://www.lienvandekelder.be = "LienVdK.exe"

　　HKEY_LOCAL_METHINE SYSTEMCurrentControlSetServicesSharedAccessStart = "LienVdK.exe"

　　3、释放病毒相关文件：%System%LienVdK.exe

　　4、病毒感染后会搜索Windows地址簿、临时文件、本地硬盘下的某些扩展名文件中的email地址，发送垃圾邮件，扩展名列表如下：

　　txt jsp php tbb

　　htm cgi asp adb

　　sht xml dbx wab

　　以下列字符开头的email地址，病毒不会发送：

　　no 　　　 postmaster　　　site　　　　 webmaster

　　nobody 　 privacy　　　　 soft　　　　 www

　　noone 　　rating　　　　 somebody　　 ……

　　not 　　　 root　　　　　 someone

　　nothing 　 samples　　　　submit

　　page 　　 service　　　　　the.bat

　　包含以下字符的email地址，病毒也不进行发送：

　　example　　gnu　　　　icrosof　　　isi.e

　　spam　　　google　　　icrosoft　　　kernel

　　fido　　　　gov.　　　　ietf　　　　　linux

　　foo.　　　　iana　　　　inpris　　　　listserv

　　fsf.　　　　ibm.com　　　isc.o　　　　… …

　　5、病毒重要通过发送病毒邮件来传播，主题可能是：

　　Important Notification

　　*WARNING* Your Email Account Will Be Closed

　　Security measures

　　… …

　　邮件内容：

　　§ We regret to inform you that your account has been suspended due to the violation of our site policy, more info is attached.

　　……

　　附件名：

　　email-info

　　email-doc

　　information

　　……

　　附件扩展名：

　　.exe

　　.scr

　　.bat

　　… …

　　6、终止以下反病毒软件及安全软件的相关进程：

　　ALEVIR.EXE　　　　　ANTIVIRUS.EXE　　　　APVXDWIN.EXE

　　ALOGSERV.EXE　　　ANTS.EXE　　　　　　　ARR.EXE

　　AMON9X.EXE　　　　APIMONITOR.EXE　　　　ATCON.EXE

　　ANTI-TROJAN.EXE　　APLICA32.EXE　　　　　ATGUARD.EXE　

　　……

　　7、修改%System%driversetchosts文件，其中Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件，病毒从而阻止用户访问某些网站，列表如下：

　　www.f-secure.com 　　　　　　　　　　　mast.mcafee.com

　　kaspersky.com　　　　　　　　　　　　　www.lycos-vds.com

　　kaspersky-labs.com　　　　　　　　　　　my-etrust.com

　　www.avp.com　　　　　　　　　　　　　www.my-etrust.com

　　www.kaspersky.com　　　　　　　　　　download.mcafee.com

　　avp.com 　　　　　　　　　　　　　　　dispatch.mcafee.com

　　www.networkassociates.com 　　　　　　secure.nai.com

　　networkassociates.com　　　　　　　　 　nai.com

　　www.ca.com　尽　　　　　　　　　　www.nai.com

　　ca.com 　　　　　　　　　　　　　　　　

　　……

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。