重生之娱乐百里奚:大家来帮我吧
来源:百度文库 编辑:高校问答 时间:2024/05/13 16:37:36
用卡巴斯基5.039专业版
升级病毒库后
到安全模式下查杀
用诺顿企业版..能杀掉..或者用最强杀马:ewido
病毒名称:Worm_Mytob.X
病毒类型:蠕虫
其它中文命名:W32.Mytob.U@mm(赛门铁克)、
Worm.Mytob.s(瑞星)、
Net-Worm.Win32.Mytob.q(卡巴斯基)、
WORM_MYTOB.X(趋势)、
W32/Mytob.q@MM(NAI)
感染系统:Windows9X/Me/NT/2000/XP
病毒介绍:
该变种通过电子邮件进行传播,并使用自带的SMTP引擎发送电子邮件。运行后,在系
统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。
1、生成病毒文件
蠕虫运行后,在%System%文件夹下生成自身的拷贝,名称为TASKGMR.EXE或是NETHEL
L.EXE。还会在C:\目录下生成FUNNY_PIC.SCR、MY_PHOTO2005.SCR和SEE_THIS!!.SCR这三
个文件。(其中,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT
/2000下为C:\Winnt\System32,在WindowsXP下为C:\Windows\System32)。
2、修改注册表项
蠕虫添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\S
oftware\Microsoft\Windows\CurrentVersion\Run下添加
WINTASK="taskgmr.exe";
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runservices下添
加WINTASK="taskgmr.exe";
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加
WINTASK="taskgmr.exe"。
3、通过电子邮件进行传播
该变种在被感染用户的系统内搜索所有扩展名为.wab,.asp,.htm,.adb等的文件,
并从中寻找合法电子邮件地址,并使用的自带的SMTP向这些地址发送带毒的电子邮件。
4、利用系统漏洞
该变种利用微软已经公布的两个重要的系统漏洞RPC/DCOM和LSASS进行传播。
5、后门能力
该变种在被感染的系统中通过端口进行侦听,以连接InternetRelayChat(IRC)服务
。一旦服务建立成功,远程用户就会对被感染的系统通过一些命令进行控制,如下载文件
,直接运行文件,对蠕虫进行升级、修改等。蠕虫还会利用一个随机端口创建一个ftp服务
。
6、编辑HOSTS文件
该变种会编辑系统的HOSTS文件,该文件里包含有所有IP地址的主机名。目的是阻止被
感染系统的用户访问一些反病毒网站。系统的HOSTS文件存储在以下目录中:
%System%\drivers\etc
%Windows%
(其中,%System%在Windows95/98/Me下为C:\Windows\System,在WindowsNT/2000
下为C:\Winnt\System32,在WindowsXP下为C:\Windows\System32;%Windows%在Windo
ws95/98/Me下为C:\Windows,在WindowsNT/2000下为C:\WINNT.)
清除该病毒的相关操作:
1、终止病毒进程
在Windows9x/ME系统,同时按下CTRL+ALT+DELETE,在WindowsNT/2000/XP系统中,
同时按下CTRL+SHIFT+ESC,选择“任务管理器——〉进程”,选中正在运行的进程“cool
bot.exe”,并终止其运行。
2、注册表的恢复
点击“开始——〉运行”,输入regedit,运行注册表编辑器,依次找到对应的注册表
项,并删除面板右侧的HELLBOT3="coolbot.exe"键值。
3、删除病毒文件
点击“开始——〉查找——〉文件和文件夹”,查找文件“coolbot.exe”,并将找到
的文件删除。
4、运行杀毒软件对系统进行全面的病毒查杀
(在任务管理器里关闭taskgmr,以及有hell字样的文件;C:\Windows\System32下删除ta
skgmr文件;到注册表里将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer
sion\Runservices下的taskgmr.exe删除;到c:下删除FUNNY_PIC.SCR、MY_PHOTO2005.S
CR和SEE_THIS!!.等文件)
蠕虫添加注册表项,使得自身能够在系统启动时自动运行