悠嘻猴 2008-7-31 13:15
Worm.Win32.MYcao专杀
[list][*]软件名称:Worm.Win32.MYcao专杀[*]软件类别:专杀工具[*]软件版本:[*]软件大小:[*]应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/[*]更新时间:2008-05-29 18:10:48[*]授权方式:共享软件[*]软件说明[/list]
病毒评估[list][*]病毒名称: Worm.Win32.MYcao[*]病毒名称英文:Worm.Win32.MYcao[*]病毒类型:感染型[*]危险级别:★★★☆[*]传播方式:网络共享传播[*]受影响的系统: Windows 2000, Windows XP, Windows Server 2003[*]未受影响的系统:Windows 3.x, Macintosh, Unix, Linux[/list]
病毒危害:[list][*]1 该病毒感染可执行文件[*]2 感染WEB文件[*]3 下载其他病毒、木马[*]4 破坏还原程序,删除备份文件[/list]传播形式:[list]1 释放病毒体到系统文件夹下:
C:\WINDOWS\Tasks\0x01xx8p.exe
每个分区下生成文件:
MSDOS.bat
Autorun.inf
2 加载驱动程序,破坏还原程序:
病毒会释放驱动程序到C:\zzz.sys,然后加载。
3 感染系统文件Explore.exe,感染方式为:修改Explorer.exe程序的OEP,将程序的最后一节节名改为.MYCao,然后再将病毒体追加到最一节,并修改相应的节表信息。该病毒会将感染前的Explorer.exe文件备份到C:\WINDOWS\Tasks\SysFile.brk。
4 下载其他病毒、木马:
该病毒链接到[url=http://c.158/]http://c.158[/url]***.com/config.txt,根据该配置文件列表,下载其他病毒、木马。
5 感染可执行文件:
该病毒感染扩展名为:.exe, .com, .pif等的PE文件。
6 感染WEB文件:
该病毒感染扩展名为:.do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, cgi, .xml等的网页文件。
7 删除备份文件:
该病毒删除扩展名为.gho的GHOST备份文件。
预防和处理办法:[list][*]1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。[*]2 将病毒库升级到最新,并开启防病毒软件的实时监控。[/list][/list]下载地址:[url=http://www.sanlen.com/down/sl_down_165.htm]http://www.sanlen.com/down/sl_down_165.htm[/url]
[[i] 本帖最后由 悠嘻猴 于 2008-9-9 15:09 编辑 [/i]]