【51CTO.com 綜合消息】總體病毒狀況依然保持前一周比較平靜的勢(shì)態(tài)，未發(fā)現(xiàn)嚴(yán)重危害的新型病毒。從本周收集病毒種類來看，數(shù)量較多的幾種盜號(hào)家族在變體數(shù)量上有較大減少，以往變體較多的幾個(gè)盜號(hào)木馬/下載器家族，在本周捕獲的變體數(shù)量減少很多。但本周的郵件類病毒有增加趨勢(shì)，新出現(xiàn)了幾種帶有群發(fā)郵件功能的蠕蟲。

本周關(guān)注的新病毒：

病毒名稱：Win32.Mytob.PA  

其它名稱：TrojanDropper:Win32/VB.AV (MS OneCare)

病毒屬性：蠕蟲病毒 

危害性：中等危害 

流行程度：中

病毒特性：

Win32/Mytob.PA是一種通過電子郵件傳播的蠕蟲病毒，并且同時(shí)可通過u盤進(jìn)行傳播。它還禁用一些安全軟件，并下載其它的惡意程序，是一種復(fù)合型病毒。

感染方式：

當(dāng)病毒文件被執(zhí)行后，Mytob.PA會(huì)復(fù)制到以下位置：

%Program Files%\Common Files\Microsoft Shared\MSInfo\msinfo16h.exe

%Program Files%\Internet Explorer\JSPdebuggercom.dll

%Windows%\ctfmon.exe

%Windows%\inetinfo.exe

%Windows%\winlogon.exe

%Windows%\inf\realplayer.exe

%System%\TIMPlatform.exe

在系統(tǒng)注冊(cè)表啟動(dòng)項(xiàng)中添加，以便系統(tǒng)啟動(dòng)時(shí)被執(zhí)行，并且在系統(tǒng)服務(wù)中加入名稱為“DHCP System Application”的服務(wù)。

傳播方式：

通過郵件傳播

Win32/Mytob.PA通過郵件進(jìn)行傳播，病毒附加在郵件的附件中，并使用自帶的SMTP引擎進(jìn)行發(fā)送。病毒通過Windows Address Book (WAB)收集目標(biāo)郵件地址，并在帶有以下擴(kuò)展名的文件中搜索郵件地址：

.asp、.cgi、.htm、.html、.jsp、.shtml、.txt、.xml

蠕蟲發(fā)送的電子郵件有以下特點(diǎn)。

寄件人地址隨機(jī)生成，其中可能是以下任意一個(gè)：

Ayiana

Sruti

Subhadra

Subhaga

Subhangi

…

Yogita

Zankhana

Zarna

域名可能是以下任意一個(gè)：

aol.com、freemail.com、gmail.com、hotmail.com、mail.com、msn.com

例如，發(fā)件人的地址可能顯示為Tusti@msn.com 。

郵件正文包括以下內(nèi)容：

Dear :

fakedegrees is now the only site that provides you with an On-line Certificate Creator. 

With our exclusive tools and the partnership with one of the best online degree and diploma 

merchants we can provide our members with the largest range of novelty university degrees, 

college diplomas and high school certificates that you can preview online.

Open attachment to view contact method and Certificate of photos.

Thanks:)

病毒發(fā)送的垃圾郵件的附件使用以下圖標(biāo)，誘騙用戶相信該附件是一個(gè)壓縮文件。 

通過驅(qū)動(dòng)器傳播

Win32/Mytob.PA搜索所有可利用的移動(dòng)驅(qū)動(dòng)器和固定驅(qū)動(dòng)器，生成"Autorun.inf"文件，以確保下一次訪問驅(qū)動(dòng)器的時(shí)候自動(dòng)運(yùn)行病毒文件。

危害

使安全軟件失效

Win32/Mytob.PA 使被感染機(jī)器上與安全相關(guān)的軟件失效，從而降低被感染機(jī)器的安全性，并對(duì)多種安全軟件進(jìn)行“鏡像劫持”。

可能是以下任意一些：

adam.exe

AgentSvr.exe

AppSvc32.exe

AST.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.com

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

…

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

修改Hosts文件

Hosts文件包含IP地址和主機(jī)名的映射。Windows在查詢DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系統(tǒng)中hosts 文件位于%System%\drivers\etc\hosts；在Windows 9x 系統(tǒng)中hosts文件位于%Windows%\hosts。

Mytob.PA修改hosts文件，將以下一些URL改變?yōu)閘ocalhost，有效的阻止用戶訪問這些站點(diǎn)：

127.0.0.1 avp.com 

127.0.0.1 ca.com 

127.0.0.1 customer.symantec.com 

127.0.0.1 dispatch.mcafee.com 

127.0.0.1 liveupdate.symantec.com 

…

127.0.0.1 bbs.duba.net 

127.0.0.1 www.luosoft.com 

127.0.0.1 an.baidu.com 

127.0.0.1 www.rising.com.cn 

127.0.0.1 tools.ikaka.com

盜竊敏感信息

該蠕蟲病毒試圖竊取網(wǎng)絡(luò)游戲魔獸世界(WOW)的有關(guān)信息。它在%Program Files%\World of Warcraft\Data\enGB\ 中搜索WOW的配置文件“realmlist.wtf”。然后使用Activer服務(wù)器http://kexp.org/emailforms/email_action.asp發(fā)送內(nèi)容。

本周常見較活躍病毒列表及變體數(shù)量：

表1

其他近期新病毒的資料可參考：

http://www.kill.com.cn/product/bingdujieshao/index.asp

安全防范建議：

1、對(duì)于個(gè)人PC，重要的系統(tǒng)補(bǔ)丁應(yīng)及時(shí)安裝；對(duì)于企業(yè)用戶，應(yīng)加強(qiáng)補(bǔ)丁管理意識(shí)，尤其對(duì)服務(wù)器等重要系統(tǒng)應(yīng)盡早安裝；

2、不訪問有害信息網(wǎng)站，不隨意下載/安裝可疑插件，并檢查IE的安全級(jí)別是否被修改；

3、使用KILL時(shí)注意及時(shí)升級(jí)到最新的病毒庫(kù)版本，并保持時(shí)時(shí)監(jiān)視程序處于開啟狀態(tài)；

4、不要隨意執(zhí)行未知的程序文件；

5、合理的配置系統(tǒng)的資源管理器（比如顯示隱含文件、顯示文件擴(kuò)展名），以便能夠更快地發(fā)現(xiàn)異?，F(xiàn)象，防止被病毒程序利用；