病毒名称 麦托变种EN 病毒分类 Windows病毒

危害程度 中 病毒大小 0 KB

病毒专杀工具下载地址：

病毒简介：

病毒分类 WINDOWS下的PE病毒

病毒名称 Worm.Mytob.en

别 名 麦托变种EN

依赖系统 WIN9X/NT/2000/XP

传播途径 通过邮件传播

行为类型 WINDOWS下的木马程序

感 染 蠕虫病毒

一个使用VC编写的蠕虫病毒(upx压缩)

病毒行为:

病毒运行后将自己复制到%system%目录下文件名为:Lien Van de Kelder.exe

并在注册表:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

中加入自己的键值:

"http://www.lienvandekelder.be" = "Lien Van de Kelder.exe"

以达到随系统自启动的目的.

随后病毒实现以下功能.

1.进程监控:

病毒遍历系统进程例表将和病毒体内相符的进程结束.

ACKWIN32.EXE

ADAWARE.EXE

ADVXDWIN.EXE

AGENTSVR.EXE

AGENTW.EXE

ALEVIR.EXE

ALOGSERV.EXE

AMON9X.EXE

ANTI-TROJAN.EXE

ANTIVIRUS.EXE

ANTS.EXE

APIMONITOR.EXE

APLICA32.EXE

APVXDWIN.EXE

ATCON.EXE

ATGUARD.EXE

ATRO55EN.EXE

ATUPDATER.EXE

ATWATCH.EXE

AU.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AVCONSOL.EXE

AVE32.EXE

AVGCC32.EXE

AVGCTRL.EXE

AVGNT.EXE

AVGSERV.EXE

AVGSERV9.EXE

AVGW.EXE

AVKSERV.EXE

AVKSERVICE.EXE

AVKWCTl9.EXE

AVNT.EXE

AVP.EXE

AVP32.EXE

AVPCC.EXE

AVPDOS32.EXE

AVPM.EXE

AVPTC32.EXE

AVPUPD.EXE

AVSCHED32.EXE

AVSYNMGR.EXE

....

2.修改hosts文件

病毒将在hosts文件中加入以下项.使这些网站指127.0.0.1阻止用户访问这些网站

127.0.0.1 www.symantec.com

127.0.0.1 securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 www.avp.com

127.0.0.1 customer.symantec.com

...

3.MircBot

病毒登录Mirc服务器方便病毒作者对中了病毒的系统进行控制.

4.邮件传播

该病毒采用Visual C++编写、UPX压缩。病毒运行后将自身复制到系统目录下文件名为“Lien Van de Kelder.exe”，同时在注册表中添加启动项目实现开机自动运行。病毒会结束多种杀毒软件的进程，造成它们无法正常使用；修改染毒计算机的配置文件，造成这些计算机无法对一些国外杀毒软件厂商的网站进行访问。病毒会开启后门，使黑客通过IRC对染毒的计算机进行远程控制、窃取密码等。该病毒还会通过电子邮件进行传播。