该病毒属网络蠕虫类，为Mytob病毒家族的最新变种，病毒的传播方式同该病毒家族的其他变种类似，病毒运行后复制原病毒附本到%system%\\csm.exe，添加到系统进程，病毒会修改注册表文件，创建互斥体，防止该病毒的多个副本同时运行。病毒还会修改%System%\\drivers\\etc\\hosts文件，阻止用户访问某些反病毒及安全类站点。开启本地ftp服务，等待被溢出主机的连接，并提供病毒附本下载。该病毒对用户有一定危害。

基本信息

行为分析

清除方案

基本信息

病毒名称： Net-Worm.Win32.Mytob.cf

中文名称： Mytob.cf变种

病毒类型： 蠕虫

文件 MD5： 9C06D095B0D1BDB5ADED333F9882C83A

公开范围： 完全公开

危害等级： 中

文件长度： 15,386 字节

感染系统： Windows 98 以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： 未知壳

命名对照： Symentec[W32.Mytob.Ad@mm]

Mcafee[W32/Mydoom.gen@MM]

行为分析

1、病毒复制原病毒副本到 %system%\\csm.exe

2、创建互斥体：B-O-T-Z-O-R，防止该病毒的多个副本同时运行。

3、修改注册表：

达到随系统启动的目的：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\csm Win Updates

键值: 字串: "csm.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunServices\\csm Win Updates

键值: 字串: "csm.exe"

禁止Windows 2000/XP中"SharedAccess"服务，修改：

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess

键值：字串：start = 4

4、修改%System%\\drivers\\etc\\hosts文件，阻止用户访问某些反病毒及安全类站点：

127.0.0.1 www.symantec.com

127.0.0.1securityresponse.symantec.com

127.0.0.1 symantec.com

127.0.0.1 www.sophos.com

127.0.0.1 sophos.com

127.0.0.1 www.mcafee.com

127.0.0.1 f-secure.com

127.0.0.1 www.f-secure.com

127.0.0.1 kaspersky.com

127.0.0.1 kaspersky-labs.com

127.0.0.1 www.avp.com

127.0.0.1 www.kaspersky.com

127.0.0.1 avp.com

127.0.0.1 www.networkassociates.com

127.0.0.1 networkassociates.com

127.0.0.1 www.ca.com

127.0.0.1 ca.com

127.0.0.1 mast.mcafee.com

127.0.0.1 my-etrust.com

127.0.0.1 www.my-etrust.com

127.0.0.1 download.mcafee.com

127.0.0.1 dispatch.mcafee.com

127.0.0.1 secure.nai.com

127.0.0.1 nai.com

127.0.0.1 www.nai.com

127.0.0.1 update.symantec.com

127.0.0.1 updates.symantec.com

127.0.0.1 us.mcafee.com

127.0.0.1 mcafee.com

127.0.0.1 liveupdate.symantecliveupdate.com

127.0.0.1 www.viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 viruslist.com

127.0.0.1 liveupdate.symantec.com

127.0.0.1 customer.symantec.com

127.0.0.1 rads.mcafee.com

127.0.0.1 trendmicro.com

127.0.0.1 pandasoftware.com

127.0.0.1 www.pandasoftware.com

127.0.0.1 www.trendmicro.com

127.0.0.1 www.grisoft.com

127.0.0.1 www.microsoft.com

127.0.0.1 microsoft.com

127.0.0.1 www.virustotal.com

127.0.0.1 virustotal.com

127.0.0.1 www.amazon.com

127.0.0.1 www.amazon.co.uk

127.0.0.1 www.amazon.ca

127.0.0.1 www.amazon.fr

127.0.0.1 www.paypal.com

127.0.0.1 paypal.com

127.0.0.1 moneybookers.com

127.0.0.1 www.moneybookers.com

127.0.0.1 www.ebay.com

127.0.0.1 ebay.com

5、开启本地FTP服务，监听本地33333端口，等待被溢出主机的联接，并提供病毒副本下载。

6、病毒还具有IRC信道功能，病毒会尝试连接wait.atillaekici.net，等待并接受恶意用户的远程控制，如上传、下载、运行任意程序，搜集感染主机信息等。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程：

csm.exe

(2) 删除病毒文件：

%system%\\csm.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\Run\\csm Win Updates

键值: 字串: "csm.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows

\\CurrentVersion\\RunServices\\csm Win Updates

键值: 字串: "csm.exe"