冠群金辰6月第3周报告:出现群发邮件功能的蠕虫

安全
Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,并且同时可通过u盘进行传播。它还禁用一些安全软件,并下载其它的恶意程序,是一种复合型病毒。

【51CTO.com 综合消息】总体病毒状况依然保持前一周比较平静的势态,未发现严重危害的新型病毒。从本周收集病毒种类来看,数量较多的几种盗号家族在变体数量上有较大减少,以往变体较多的几个盗号木马/下载器家族,在本周捕获的变体数量减少很多。但本周的邮件类病毒有增加趋势,新出现了几种带有群发邮件功能的蠕虫。

本周关注的新病毒:

病毒名称:Win32.Mytob.PA  

其它名称:TrojanDropper:Win32/VB.AV (MS OneCare)

病毒属性:蠕虫病毒 

危害性:中等危害 

流行程度:中

病毒特性:

Win32/Mytob.PA是一种通过电子邮件传播的蠕虫病毒,并且同时可通过u盘进行传播。它还禁用一些安全软件,并下载其它的恶意程序,是一种复合型病毒。

感染方式:

当病毒文件被执行后,Mytob.PA会复制到以下位置:

%Program Files%\Common Files\Microsoft Shared\MSInfo\msinfo16h.exe
%Program Files%\Internet Explorer\JSPdebuggercom.dll
%Windows%\ctfmon.exe
%Windows%\inetinfo.exe
%Windows%\winlogon.exe
%Windows%\inf\realplayer.exe
%System%\TIMPlatform.exe

在系统注册表启动项中添加,以便系统启动时被执行,并且在系统服务中加入名称为“DHCP System Application”的服务。

传播方式:

通过邮件传播

Win32/Mytob.PA通过邮件进行传播,病毒附加在邮件的附件中,并使用自带的SMTP引擎进行发送。病毒通过Windows Address Book (WAB)收集目标邮件地址,并在带有以下扩展名的文件中搜索邮件地址:

.asp、.cgi、.htm、.html、.jsp、.shtml、.txt、.xml

蠕虫发送的电子邮件有以下特点。

寄件人地址随机生成,其中可能是以下任意一个:

Ayiana
Sruti
Subhadra
Subhaga
Subhangi
Yogita
Zankhana
Zarna

域名可能是以下任意一个:

aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com

例如,发件人的地址可能显示为Tusti@msn.com

邮件正文包括以下内容:

Dear :
fakedegrees is now the only site that provides you with an On-line Certificate Creator. 
With our exclusive tools and the partnership with one of the best online degree and diploma 
merchants we can provide our members with the largest range of novelty university degrees, 
college diplomas and high school certificates that you can preview online.
Open attachment to view contact method and Certificate of photos.
Thanks:)

病毒发送的垃圾邮件的附件使用以下图标,诱骗用户相信该附件是一个压缩文件。 

通过驱动器传播

Win32/Mytob.PA搜索所有可利用的移动驱动器和固定驱动器,生成"Autorun.inf"文件,以确保下一次访问驱动器的时候自动运行病毒文件。

危害

使安全软件失效

Win32/Mytob.PA 使被感染机器上与安全相关的软件失效,从而降低被感染机器的安全性,并对多种安全软件进行“镜像劫持”。

可能是以下任意一些:

adam.exe
AgentSvr.exe
AppSvc32.exe
AST.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.EXE.exe
WoptiClean.exe
zxsweep.exe

修改Hosts文件

Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。

Mytob.PA修改hosts文件,将以下一些URL改变为localhost,有效的阻止用户访问这些站点:

127.0.0.1 avp.com 
127.0.0.1 ca.com 
127.0.0.1 customer.symantec.com 
127.0.0.1 dispatch.mcafee.com 
127.0.0.1 liveupdate.symantec.com 
127.0.0.1 bbs.duba.net 
127.0.0.1 www.luosoft.com 
127.0.0.1 an.baidu.com 
127.0.0.1 www.rising.com.cn 
127.0.0.1 tools.ikaka.com

盗窃敏感信息

该蠕虫病毒试图窃取网络游戏魔兽世界(WOW)的有关信息。它在%Program Files%\World of Warcraft\Data\enGB\ 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服务器http://kexp.org/emailforms/email_action.asp发送内容。

本周常见较活跃病毒列表及变体数量:

 
表1

其他近期新病毒的资料可参考:

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建议:

1、对于个人PC,重要的系统补丁应及时安装;对于企业用户,应加强补丁管理意识,尤其对服务器等重要系统应尽早安装;

2、不访问有害信息网站,不随意下载/安装可疑插件,并检查IE的安全级别是否被修改;

3、使用KILL时注意及时升级到最新的病毒库版本,并保持时时监视程序处于开启状态;

4、不要随意执行未知的程序文件;

5、合理的配置系统的资源管理器(比如显示隐含文件、显示文件扩展名),以便能够更快地发现异常现象,防止被病毒程序利用;

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2009-09-15 16:56:36

2009-03-25 11:28:10

2009-06-30 11:27:32

病毒木马冠群金辰

2009-09-08 21:26:17

2009-06-16 08:48:43

2009-04-15 11:00:05

2009-06-01 16:55:43

2009-05-19 09:00:04

家族变体病毒冠群金辰

2009-05-07 15:50:44

2009-04-28 11:11:15

木马病毒冠群金辰

2009-03-03 09:37:05

2009-07-14 13:55:06

2009-05-12 09:03:17

2009-07-27 19:29:58

2009-06-29 10:44:54

2009-04-25 08:33:52

2010-09-10 14:14:55

群发邮件蠕虫病毒

2009-02-24 10:20:29

2009-02-11 11:25:21

2009-06-23 13:21:16

点赞
收藏

51CTO技术栈公众号