“复合型”蠕虫来袭
据冠群金辰全球反病毒检测网络报告,本周的总体病毒状况依然保持前一周比较平静的势态,未发现具有严重危害的新型病毒。从本周收集病毒种类来看,数量较多的几种盗号家族在变体数量上有较大减少,以往变体较多的几个盗号木马/下载器家族,在本周捕获的变体数量减少很多。但本周的邮件类病毒有增加趋势,新出现了几种带有群发邮件功能的蠕虫。
本周关注病毒
病毒名称:Win32.Mytob.PA(其他名称:TrojanDropper:Win32/VB.AV (MS OneCare))
病毒属性:蠕虫病毒
危害性:中等危害
病毒特性:Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,并且同时可通过U盘进行传播。它还禁用一些安全软件,并下载其它的恶意程序,是一种复合型病毒。
该病毒的感染方式:当病毒文件被执行后,它会进行复制,在系统注册表启动项中添加,以便系统启动时被执行,并且在系统服务中加入名称为“DHCP System Application”的服务。
该病毒主要传播方式:
1、通过电子邮件传播。
Win32/Mytob.PA通过邮件进行传播,病毒附加在邮件的附件中,并使用自带的SMTP引擎进行发送。病毒通过Windows Address Book (WAB)收集目标邮件地址,并在带有以下扩展名的文件中搜索邮件地址:。asp、。cgi、。htm、。html、。jsp、。shtml、。txt、。xml。
该蠕虫发送的电子邮件有以下特点:寄件人地址随机生成,其中可能是以下任意一个:Ayiana、Sruti、Subhadra、Subhaga、Subhangi、Yogita、Zankhana、Zarna……
其域名可能是以下任意一个:aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com。
例如,发件人的地址可能显示为Tusti@msn.com 。
病毒发送的邮件正文包括以下内容:
Dear :
fakedegrees is now the only site that provides you with an On-line Certificate Creator. With our exclusive tools and the partnership with one of the best online degree and diploma merchants we can provide our members with the largest range of novelty university degrees, college diplomas and high school certificates that you can preview online.
Open attachment to view contact method and Certificate of photos.
Thanks:)
该病毒发送的垃圾邮件的附件使用以下图标,主要目的是诱骗用户相信该附件是一个压缩文件。
2、通过驱动器传播。
蠕虫Win32/Mytob.PA将自动搜索所有可利用的移动驱动器和固定驱动器,生成"Autorun.inf"文件,以确保下一次访问驱动器的时候自动运行病毒文件。
该病毒的主要危害如下:
1、使安全软件失效。
Win32/Mytob.PA能使被感染机器上与安全相关的软件失效,从而降低被感染机器的安全性,并对多种安全软件进行“镜像劫持”。
2、修改Hosts文件。
Hosts文件包含IP地址和主机名的映射,Windows在查询DNS之前需要查找Hosts文件。在Windows XP、2000、NT系统中Hosts 文件位于%System%driversetchosts;在Windows 9x系统中,Hosts文件位于%Windows%hosts。Mytob.PA修改hosts文件,将以下一些URL改变为localhost,有效的阻止用户访问这些站点:127.0.0.1 avp.com、127.0.0.1 ca.com、127.0.0.1 customer.symantec.com……
3、盗窃敏感信息。
该蠕虫病毒试图窃取网络游戏魔兽世界(WOW)的有关信息。它在%Program Files%World of WarcraftDataenGB 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服务器http://kexp.org/emailforms/email_action.asp发送内容。
安全防范建议
1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;
2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;
3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;
4、不要随意执行未知的程序文件;
5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用。
用户评论