病毒预报（2005.4.11- 2005.4.17)

栏目回收

病毒预报（2005.4.11- 2005.4.17)

来源：发布时间：2005-04-11访问次数：233

    国家计算机病毒应急处理中心通过对互联网的监测，发现了一蠕虫的新变种Worm_Mytob.AB，应急中心对该病毒变种进行了分析处理发现，该变种和早期的变种一样，都是通过电子邮件进行传播，并使用自带的SMTP引擎发送电子邮件。该变种会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站，远程控制者还会对受感染的机器进行下载、运行病毒文件的操作。

蠕虫详细信息如下：
病毒名称：Worm_Mytob.AB
病毒类型： 蠕虫
其它中文命名：W32.Mytob.U@mm（赛门铁克）、
              Worm.Mytob.s（瑞星）、
              Net-Worm.Win32.Mytob.q（卡巴斯基）、
              WORM_MYTOB.X（趋势）、
              W32/Mytob.q@MM（NAI）
感染系统：Windows 9X/Me/NT/2000/XP

病毒介绍：

    该变种通过电子邮件进行传播，并使用自带的SMTP引擎发送电子邮件。运行后，在系统目录下生成自身的拷贝，修改注册表键值。病毒同时具有后门能力。

1、生成病毒文件

   蠕虫运行后，在%System％文件夹下生成自身的拷贝，名称为TASKGMR.EXE或是NETHELL.EXE。还会在C:目录下生成FUNNY_PIC.SCR、MY_PHOTO2005.SCR 和SEE_THIS!!.SCR这三个文件。（其中，%System%在Windows 95/98/Me 下为C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32）。

2、修改注册表项

   蠕虫添加注册表项，使得自身能够在系统启动时自动运行，在
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 下添加
WINTASK = "taskgmr.exe"；
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunservices 下添加 WINTASK = "taskgmr.exe" ；
在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下添加
WINTASK = "taskgmr.exe"。

3、通过电子邮件进行传播

   该变种在被感染用户的系统内搜索所有扩展名为.wab，.asp，.htm，.adb等的文件，并从中寻找合法电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件。

4、利用系统漏洞

   该变种利用微软已经公布的两个重要的系统漏洞RPC/DCOM和LSASS进行传播。

5、后门能力

   该变种在被感染的系统中通过端口进行侦听，以连接Internet Relay Chat (IRC)服务。一旦服务建立成功，远程用户就会对被感染的系统通过一些命令进行控制，如下载文件，直接运行文件，对蠕虫进行升级、修改等。蠕虫还会利用一个随机端口创建一个ftp服务。

6、编辑HOSTS文件

   该变种会编辑系统的HOSTS文件，该文件里包含有所有IP地址的主机名。目的是阻止被感染系统的用户访问一些反病毒网站。

清除该病毒的相关操作：

1、终止病毒进程

   在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器――〉进程”，选中正在运行的进程“coolbot.exe”，并终止其运行。

2、注册表的恢复

   点击“开始――〉运行”，输入regedit,运行注册表编辑器，依次找到对应的注册表项，并删除面板右侧的HELLBOT3 = "coolbot.exe"键值。

3、删除病毒文件

   点击“开始――〉查找――〉文件和文件夹”，查找文件“coolbot.exe”，并将找到的文件删除。

4、删除、修改被编辑的系统HOSTS文件

5、运行杀毒软件对系统进行全面的病毒查杀

专家提醒：

1、由于邮件病毒的特征较为鲜明，信体内容为空或有简短的英文，并带有带毒附件。还
请用户了解病毒邮件的基本特征，并谨慎处理，尤其对邮件的附件，不要随便运行。

2、提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。。

　　

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
security@tj.cnuninet.net