麦托变种EN
病毒名称 麦托变种EN 病毒分类 Windows病毒
危害程度 中 病毒大小 0 KB
病毒专杀工具下载地址:
病毒简介:
病毒分类 WINDOWS下的PE病毒
病毒名称 Worm.Mytob.en
别 名 麦托变种EN
依赖系统 WIN9X/NT/2000/XP
传播途径 通过邮件传播
行为类型 WINDOWS下的木马程序
感 染 蠕虫病毒
一个使用VC编写的蠕虫病毒(upx压缩)
病毒行为:
病毒运行后将自己复制到%system%目录下文件名为:Lien Van de Kelder.exe
并在注册表:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
中加入自己的键值:
"http://www.lienvandekelder.be" = "Lien Van de Kelder.exe"
以达到随系统自启动的目的.
随后病毒实现以下功能.
1.进程监控:
病毒遍历系统进程例表将和病毒体内相符的进程结束.
ACKWIN32.EXE
ADAWARE.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
AGENTW.EXE
ALEVIR.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AU.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
AVGCTRL.EXE
AVGNT.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGW.EXE
AVKSERV.EXE
AVKSERVICE.EXE
AVKWCTl9.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVSYNMGR.EXE
....
2.修改hosts文件
病毒将在hosts文件中加入以下项.使这些网站指127.0.0.1阻止用户访问这些网站
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 customer.symantec.com
...
3.MircBot
病毒登录Mirc服务器方便病毒作者对中了病毒的系统进行控制.
4.邮件传播
该病毒采用Visual C++编写、UPX压缩。病毒运行后将自身复制到系统目录下文件名为“Lien Van de Kelder.exe”,同时在注册表中添加启动项目实现开机自动运行。病毒会结束多种杀毒软件的进程,造成它们无法正常使用;修改染毒计算机的配置文件,造成这些计算机无法对一些国外杀毒软件厂商的网站进行访问。病毒会开启后门,使黑客通过IRC对染毒的计算机进行远程控制、窃取密码等。该病毒还会通过电子邮件进行传播。