词条 | IM-Worm.Win32.Sumom.a |
释义 | 病毒简述病毒名称: IM-Worm.Win32.Sumom.a 病毒类型: 蠕虫 文件MD5: 00BC44BD52D7CE5FF19A2D02606A45D4 公开范围: 完全公开 危害等级: 中 文件长度: 155,648 字节 感染系统: Windows 98 及以上版本 开发工具: Microsoft Visual Basic 5.0 / 6.0 命名对照: Symentec[无] Mcafee[无] 病毒描述该病毒属蠕虫类,病毒主要通过MSN传播,也可以复制原病毒副本到共享文件夹下,病毒运行后复制原病毒副本到%System%和%Windows%目录下,修改注册表文件,添加启动项,病毒还会创建一个互斥体,防止该病毒的多个副本同时运行。病毒还会遍历系统当前进程,尝试终止某些反病毒及安全类、资源分析类软件的进程。修改%System%\\drivers\\etc\\hosts文件,阻止用户访问某些网站,该病毒对用户有一定危害。 行为分析1、创建一个互斥体'-F-u-c-k-'-Y-o-u-' 防止该病毒的多个副本同时运行。 2、修改注册表文件: HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\ HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows \\CurrentVersion\\RunServices\\ HKEY_CURRENT_USER\\Microsoft\\Windows\\CurruntVersion\\Run\\ HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows \\CurrentVersion\\policies\\Explorer\\Run\\ HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\policies\\Explorer\\Run\\ 3、病毒运行后复制原病毒副本到: %System%\\formatsys.exe %System%\\serbw.exe %Windows%\\msmbw.exe 4、遍历系统当前进程,尝试终止以下反病毒及安全类、资源分析类软件的进程: avengine.exe apvxdwin.exe autodown.exe autotrace.exe avwupd32.exe avxquar.exe bawindo.exe nisum.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapw32.exe nopdb.exe nprotect.exe pavsrv50.exe rtvscan.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe escanhnt.exe rulaunch.exe savscan.exe shstat.exe vshwin32.exe vsstat.exe vstskmgr.exe cmd.exe msconfig.exe msdev.exe ollydbg.exe peid.exe petools.exe w32dasm.exe winhex.exe wscript.exe ...... 5、病毒主要通过MSN和P2P软件,共享文件夹传播: 其中,通过msn传播时的病毒名可能为: Crazy frog gets killed by train!.pif See my lesbian friends.pif …… 复制原病毒副本到以下文件夹中: \\My Shared Folder \\Program Files\\eMule\\Incoming \\Documents and Settings\\Shared 病毒名可能为: Messenger Plus! 3.50.exe MSN nudge bomb.exe …… 6、修改%System%\\drivers\\etc\\hosts文件,阻止用户访问以下网站: www.symantec.com www.sophos.com www.mcafee.com www.viruslist.com www.f-secure.com www.avp.com www.kaspersky.com www.networkassociates.com www.ca.com www.my-etrust.com www.nai.com www.trendmicro.com www.grisoft.com securityresponse.symantec.com symantec.com sophos.com mcafee.com update.symantec.com liveupdate.symantecliveupdate.com viruslist.com f-secure.com kaspersky.com kaspersky-labs.com avp.com nai.com ...... 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。