悠嘻猴 - 2008-9-18 15:56:00
软件名称:Worm.Win32.MYcao专杀
软件类别:专杀工具
软件版本:
软件大小:
应用平台:Win2003/WinXP/Win2000/NT/WinME/Win9X/
更新时间:2008-09-04 11:55:08
授权方式:共享软件
软件说明
病毒评估
病毒名称: Worm.Win32.MYcao
病毒名称英文:Worm.Win32.MYcao
病毒类型:感染型
危险级别:★★★☆
传播方式:网络共享传播
受影响的系统: Windows 2000, Windows XP, Windows Server 2003
未受影响的系统:Windows 3.x, Macintosh, Unix, Linux
病毒危害:
1 该病毒感染可执行文件
2 感染WEB文件
3 下载其他病毒、木马
4 破坏还原程序,删除备份文件
传播形式:
1 释放病毒体到系统文件夹下:
C:\WINDOWS\Tasks\0x01xx8p.exe
每个分区下生成文件:
MSDOS.bat
Autorun.inf
2 加载驱动程序,破坏还原程序:
病毒会释放驱动程序到C:\zzz.sys,然后加载。
3 感染系统文件Explore.exe,感染方式为:修改Explorer.exe程序的OEP,将程序的最后一节节名改为.MYCao,然后再将病毒体追加到最一节,并修改相应的节表信息。该病毒会将感染前的Explorer.exe文件备份到C:\WINDOWS\Tasks\SysFile.brk。
4 下载其他病毒、木马:
该病毒链接到http://c.158***.com/config.txt,根据该配置文件列表,下载其他病毒、木马。
5 感染可执行文件:
该病毒感染扩展名为:.exe, .com, .pif等的PE文件。
6 感染WEB文件:
该病毒感染扩展名为:.do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, cgi, .xml等的网页文件。
7 删除备份文件:
该病毒删除扩展名为.gho的GHOST备份文件。
预防和处理办法:
1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。
2 将病毒库升级到最新,并开启防病毒软件的实时监控。
原文地址:http://www.sanlen.com/down/sl_down_165.htm