“IM-Worm.Win32.Sumom.a”的意思、由来-中文百科全书

病毒简述

病毒名称： IM-Worm.Win32.Sumom.a

病毒类型：蠕虫

文件MD5： 00BC44BD52D7CE5FF19A2D02606A45D4

公开范围：完全公开

危害等级：中

文件长度： 155,648 字节

感染系统： Windows 98 及以上版本

开发工具： Microsoft Visual Basic 5.0 / 6.0

命名对照： Symentec[无]

Mcafee[无]

该病毒属蠕虫类，病毒主要通过MSN传播，也可以复制原病毒副本到共享文件夹下，病毒运行后复制原病毒副本到%System%和%Windows%目录下，修改注册表文件，添加启动项，病毒还会创建一个互斥体，防止该病毒的多个副本同时运行。病毒还会遍历系统当前进程，尝试终止某些反病毒及安全类、资源分析类软件的进程。修改%System%\\drivers\\etc\\hosts文件，阻止用户访问某些网站，该病毒对用户有一定危害。

行为分析

1、创建一个互斥体'-F-u-c-k-'-Y-o-u-' 防止该病毒的多个副本同时运行。

2、修改注册表文件：

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run\\

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\RunServices\\

HKEY_CURRENT_USER\\Microsoft\\Windows\\CurruntVersion\\Run\\

HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows

\\CurrentVersion\\policies\\Explorer\\Run\\

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\policies\\Explorer\\Run\\

3、病毒运行后复制原病毒副本到：

%System%\\formatsys.exe

%System%\\serbw.exe

%Windows%\\msmbw.exe

4、遍历系统当前进程，尝试终止以下反病毒及安全类、资源分析类软件的进程：

avengine.exe

apvxdwin.exe

autodown.exe

autotrace.exe

avwupd32.exe

avxquar.exe

bawindo.exe

nisum.exe

firewall.exe

frameworkservice.exe

icssuppnt.exe

icsupp95.exe

mcshield.exe

mcupdate.exe

mcvsescn.exe

mcvsrte.exe

mcvsshld.exe

navapsvc.exe

navapw32.exe

nopdb.exe

nprotect.exe

pavsrv50.exe

rtvscan.exe

blackd.exe

ccapp.exe

ccevtmgr.exe

ccproxy.exe

ccpxysvc.exe

cfiaudit.exe

escanhnt.exe

rulaunch.exe

savscan.exe

shstat.exe

vshwin32.exe

vsstat.exe

vstskmgr.exe

cmd.exe

msconfig.exe

msdev.exe

ollydbg.exe

peid.exe

petools.exe

w32dasm.exe

winhex.exe

wscript.exe

......

5、病毒主要通过MSN和P2P软件，共享文件夹传播：

其中，通过msn传播时的病毒名可能为：

Crazy frog gets killed by train!.pif

See my lesbian friends.pif

……

复制原病毒副本到以下文件夹中：

\\My Shared Folder

\\Program Files\\eMule\\Incoming

\\Documents and Settings\\Shared

病毒名可能为：

Messenger Plus! 3.50.exe

MSN nudge bomb.exe

……

6、修改%System%\\drivers\\etc\\hosts文件，阻止用户访问以下网站：

www.symantec.com

www.sophos.com

www.mcafee.com

www.viruslist.com

www.f-secure.com

www.avp.com

www.kaspersky.com

www.networkassociates.com

www.ca.com

www.my-etrust.com

www.nai.com

www.trendmicro.com

www.grisoft.com

securityresponse.symantec.com

symantec.com

sophos.com

mcafee.com

update.symantec.com

liveupdate.symantecliveupdate.com

viruslist.com

f-secure.com

kaspersky.com

kaspersky-labs.com

avp.com

nai.com

......

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

词条	IM-Worm.Win32.Sumom.a
释义	病毒简述病毒描述行为分析清除方案病毒简述病毒名称： IM-Worm.Win32.Sumom.a 病毒类型：蠕虫文件MD5： 00BC44BD52D7CE5FF19A2D02606A45D4 公开范围：完全公开危害等级：中文件长度： 155,648 字节感染系统： Windows 98 及以上版本开发工具： Microsoft Visual Basic 5.0 / 6.0 命名对照： Symentec[无] Mcafee[无] 病毒描述该病毒属蠕虫类，病毒主要通过MSN传播，也可以复制原病毒副本到共享文件夹下，病毒运行后复制原病毒副本到%System%和%Windows%目录下，修改注册表文件，添加启动项，病毒还会创建一个互斥体，防止该病毒的多个副本同时运行。病毒还会遍历系统当前进程，尝试终止某些反病毒及安全类、资源分析类软件的进程。修改%System%\\drivers\\etc\\hosts文件，阻止用户访问某些网站，该病毒对用户有一定危害。行为分析 1、创建一个互斥体'-F-u-c-k-'-Y-o-u-' 防止该病毒的多个副本同时运行。 2、修改注册表文件： HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows \\CurrentVersion\\Run\\ HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows \\CurrentVersion\\RunServices\\ HKEY_CURRENT_USER\\Microsoft\\Windows\\CurruntVersion\\Run\\ HKEY_LOCAL_METHINE\\Software\\Microsoft\\Windows \\CurrentVersion\\policies\\Explorer\\Run\\ HKEY_CURRENT_USER\\Software\\Microsoft\\Windows \\CurrentVersion\\policies\\Explorer\\Run\\ 3、病毒运行后复制原病毒副本到： %System%\\formatsys.exe %System%\\serbw.exe %Windows%\\msmbw.exe 4、遍历系统当前进程，尝试终止以下反病毒及安全类、资源分析类软件的进程： avengine.exe apvxdwin.exe autodown.exe autotrace.exe avwupd32.exe avxquar.exe bawindo.exe nisum.exe firewall.exe frameworkservice.exe icssuppnt.exe icsupp95.exe mcshield.exe mcupdate.exe mcvsescn.exe mcvsrte.exe mcvsshld.exe navapsvc.exe navapw32.exe nopdb.exe nprotect.exe pavsrv50.exe rtvscan.exe blackd.exe ccapp.exe ccevtmgr.exe ccproxy.exe ccpxysvc.exe cfiaudit.exe escanhnt.exe rulaunch.exe savscan.exe shstat.exe vshwin32.exe vsstat.exe vstskmgr.exe cmd.exe msconfig.exe msdev.exe ollydbg.exe peid.exe petools.exe w32dasm.exe winhex.exe wscript.exe ...... 5、病毒主要通过MSN和P2P软件，共享文件夹传播：其中，通过msn传播时的病毒名可能为： Crazy frog gets killed by train!.pif See my lesbian friends.pif …… 复制原病毒副本到以下文件夹中： \\My Shared Folder \\Program Files\\eMule\\Incoming \\Documents and Settings\\Shared 病毒名可能为： Messenger Plus! 3.50.exe MSN nudge bomb.exe …… 6、修改%System%\\drivers\\etc\\hosts文件，阻止用户访问以下网站： www.symantec.com www.sophos.com www.mcafee.com www.viruslist.com www.f-secure.com www.avp.com www.kaspersky.com www.networkassociates.com www.ca.com www.my-etrust.com www.nai.com www.trendmicro.com www.grisoft.com securityresponse.symantec.com symantec.com sophos.com mcafee.com update.symantec.com liveupdate.symantecliveupdate.com viruslist.com f-secure.com kaspersky.com kaspersky-labs.com avp.com nai.com ...... 注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。 (1) 使用安天木马防线“进程管理”关闭病毒进程 (2) 删除病毒文件 (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
随便看	Trojan/PSW.QQPass.bfb Trojan/PSW.QQPass.bgw Trojan/PSW.QQPass.clt Trojan/PSW.QQPass.cmh Trojan/PSW.QQPass.cot Trojan/PSW.QQPass.cva Trojan/PSW.QQPass.cvb Trojan/PSW.QQPass.cvx Trojan/PSW.QQPass.cwg Trojan/PSW.QQPass.cwi Trojan/PSW.QQPass.dao Trojan/PSW.QQPass.dax Trojan/PSW.QQPass.day Trojan/PSW.QQPass.dbe Trojan/PSW.QQPass.dbf Trojan/PSW.QQPass.dbn Trojan/PSW.QQPass.dbp Trojan/PSW.QQPass.dbx Trojan/PSW.QQPass.dbz Trojan/PSW.QQPass.plm Trojan/PSW.QQPass.poq Trojan/PSW.QQPass.psq Trojan/PSW.QQPass.psz Trojan.PSW.QQPass.qar Trojan/PSW.QQPass.qjt

病毒简述

病毒描述

行为分析

清除方案