病毒簡述
病毒名稱: IM-Worm.Win32.Sumom.a病毒類型: 蠕蟲
檔案MD5: 00BC44BD52D7CE5FF19A2D02606A45D4
公開範圍: 完全公開
危害等級: 中
檔案長度: 155,648 位元組
感染系統: Windows 98 及以上版本
開發工具: Microsoft Visual Basic 5.0 / 6.0
命名對照: Symentec[無]
Mcafee[無]
病毒描述
該病毒屬蠕蟲類,病毒主要通過MSN傳播,也可以複製原病毒副本到已分享檔案夾下,病毒運行後複製原病毒副本到%System%和%Windows%目錄下,修改註冊表檔案,添加啟動項,病毒還會創建一個互斥體,防止該病毒的多個副本同時運行。病毒還會遍歷系統當前進程,嘗試終止某些反病毒及安全類、資源分析類軟體的進程。修改%System%\drivers\etc\hosts檔案,阻止用戶訪問某些網站,該病毒對用戶有一定危害。行為分析
1、創建一個互斥體'-F-u-c-k-'-Y-o-u-' 防止該病毒的多個副本同時運行。2、修改註冊表檔案:
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\Run\
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\RunServices\
HKEY_CURRENT_USER\Microsoft\Windows\CurruntVersion\Run\
HKEY_LOCAL_METHINE\Software\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\
HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run\
3、病毒運行後複製原病毒副本到:
%System%\formatsys.exe
%System%\serbw.exe
%Windows%\msmbw.exe
4、遍歷系統當前進程,嘗試終止以下反病毒及安全類、資源分析類軟體的進程:
AVENGINE.EXE
apvxdwin.exe
autodown.exe
autotrace.exe
avwupd32.exe
avxquar.exe
bawindo.exe
nisum.exe
firewall.exe
FrameworkService.exe
icssuppnt.exe
icsupp95.exe
mcshield.exe
mcupdate.exe
mcvsescn.exe
mcvsrte.exe
mcvsshld.exe
navapsvc.exe
navapw32.exe
nopdb.exe
nprotect.exe
Pavsrv50.exe
rtvscan.exe
blackd.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
ccpxysvc.exe
cfiaudit.exe
escanhnt.exe
rulaunch.exe
SAVScan.exe
shstat.exe
vshwin32.exe
vsstat.exe
vstskmgr.exe
cmd.exe
msconfig.exe
msdev.exe
ollydbg.exe
peid.exe
petools.exe
w32dasm.exe
winhex.exe
wscript.exe
......
5、病毒主要通過MSN和P2P軟體,已分享檔案夾傳播:
其中,通過msn傳播時的病毒名可能為:
Crazy frog gets killed by train!.pif
See my lesbian friends.pif
……
複製原病毒副本到以下資料夾中:
\My Shared Folder
\Program Files\eMule\Incoming
\Documents and Settings\Shared
病毒名可能為:
Messenger Plus! 3.50.exe
MSN nudge bomb.exe
……
6、修改%System%\drivers\etc\hosts檔案,阻止用戶訪問以下網站:
www.symantec.com
www.sophos.com
www.mcafee.com
www.viruslist.com
www.f-secure.com
www.avp.com
www.kaspersky.com
www.networkassociates.com
www.ca.com
www.my-etrust.com
www.nai.com
www.trendmicro.com
www.grisoft.com
securityresponse.symantec.com
symantec.com
sophos.com
mcafee.com
update.symantec.com
liveupdate.symantecliveupdate.com
viruslist.com
f-secure.com
kaspersky.com
kaspersky-labs.com
avp.com
nai.com
......
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線“進程管理”關閉病毒進程
(2) 刪除病毒檔案
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項