Worm.Win32.MYcao专杀

悠嘻猴

6 L! Y* c3 ?' [# X6 z! j9 S; j( z  \* x+ `8 e) r  ~
本款软件由上海山丽信息安全有限公司研发，. b4 S! L& t/ J. j, K  A0 o
  |8 J, J6 ?$ l  N4 _
2 k9 j7 I; j, C5 L" H
软件名称：Worm.Win32.MYcao专杀 : \0 J- R% C3 Y& T3 D$ t1 Q
软件类别：专杀工具 % ^4 Q! H0 V8 L: y; w  }
软件版本：
" P2 n+ _/ E; h5 `/ h- W( g# u2 g软件大小：
. O. I- Z; K: Q! O8 V应用平台：Win2003/WinXP/Win2000/NT/WinME/Win9X/
; m) P* l7 ~% C% C6 M" T更新时间：2008-05-29 18:10:48 8 k1 [( w: Q6 H# Y. j* L
授权方式：共享软件
9 t. g* i. b. U. g: O6 n  n. C; D1 {" L' X$ N- @' X: y- Z
软件说明
4 a5 Y. k1 O2 C3 H9 {
' B- o8 K. N/ n9 _* L' J+ x5 r- h

9 U* [6 I" o+ X! n# h. C
( j' L5 V: V% a

0 }4 N  Z% g# [9 Z( V7 O病毒评估4 {4 P2 t0 S4 j8 A) D2 _% k

  g" b5 a$ K. y5 Z5 A/ R2 ?4 `, ~" m; c1 a, B
病毒名称： Worm.Win32.MYcao 2 |! X# E+ \/ J5 M2 c
病毒名称英文：Worm.Win32.MYcao 3 q) f2 a& j$ Q4 L6 s$ R/ j
病毒类型：感染型
" a& d4 U4 h/ o! ]3 G5 }$ E危险级别：★★★☆
6 Z5 Z; _0 x8 r传播方式：网络共享传播
6 w% t4 ?- m1 g受影响的系统： Windows 2000, Windows XP, Windows Server 2003 ! s# b* L& l: j$ S* Z$ ]0 e
未受影响的系统：Windows 3.x, Macintosh, Unix, Linux
8 }- w  d+ ^0 c% x0 Z病毒危害：1 n) v- W, a. I7 B

  v! @9 \9 w. Q3 H
; F4 A( ?( `/ B5 q1 该病毒感染可执行文件 0 W2 b: p3 _( B
2 感染WEB文件 / ?; w% E2 `, C, i
3 下载其他病毒、木马
- y- C* V0 \! x- J6 k4 破坏还原程序，删除备份文件 & o, G. r3 ~! B- \6 k
传播形式：' `- T: m4 S; F* i4 t9 o  A' U
! O9 H: M4 c* k: K8 F, G5 P

% ?- v0 }4 a' q; T. J/ `! g( E1 释放病毒体到系统文件夹下：1 \; z9 `  z) ^; \' g% `
C:\WINDOWS\Tasks\0x01xx8p.exe; }7 Q$ @! `! e5 @. n/ C
每个分区下生成文件：
$ S5 Y+ [; D# C4 `* aMSDOS.bat% n) f# |( c5 m8 I
Autorun.inf
* [$ K* W( a" c8 S
/ v. W2 O& I5 ?1 n/ F2 加载驱动程序，破坏还原程序：
' s( i9 Z* Q0 P. n0 x9 P  R: N病毒会释放驱动程序到C:\zzz.sys，然后加载。
. ?$ ]* u$ `1 H: B0 y$ K
0 S3 h- U8 r" N' V" o+ w2 W8 ~3 感染系统文件Explore.exe，感染方式为：修改Explorer.exe程序的OEP，将程序的最后一节节名改为.MYCao，然后再将病毒体追加到最一节，并修改相应的节表信息。该病毒会将感染前的Explorer.exe文件备份到C:\WINDOWS\Tasks\SysFile.brk。  M: }; H3 _: f+ b3 w, @& {  B
4 下载其他病毒、木马：2 ~. N* K" c' r. O+ d
该病毒链接到http://c.158***.com/config.txt，根据该配置文件列表，下载其他病毒、木马。
- V3 c3 z1 b4 Z6 i+ V5 R5 感染可执行文件：
- K/ K9 i6 z$ h9 {. ?8 {该病毒感染扩展名为：.exe, .com, .pif等的PE文件。+ c( B' [6 I0 {* T. t
6 感染WEB文件：
1 C7 V/ O4 \) n. _% P% f3 `' D0 @9 ~8 `+ L该病毒感染扩展名为：.do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, cgi, .xml等的网页文件。
; B( u9 J8 y" [6 }4 K7 删除备份文件：" Z" z( M/ v" R& P
该病毒删除扩展名为.gho的GHOST备份文件。
  {1 V2 Y! B# c1 A0 K3 z" T$ T8 S: \预防和处理办法:
8 R$ @  b. `  ^# ~9 M! c8 Q' p" A9 Q1 e2 `$ V  D

" s+ m' b3 v8 X$ w4 N1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。
: P& J, X7 Z8 O. K* J- @# x2 将病毒库升级到最新，并开启防病毒软件的实时监控。
" C- Q: o3 x4 e6 _8 ~

悠嘻猴

软件名称：Worm.Win32.MYcao专杀
1 ^' L6 Z$ \1 K, x9 K/ f3 Y9 M# J0 y软件类别：专杀工具 * y0 i) T7 l; ^( l7 C5 \& q% y
软件版本：
- y2 r$ ]- z/ x% P+ A/ R软件大小：
7 Z' f; h, j' ]. K1 `) x  ~应用平台：Win2003/WinXP/Win2000/NT/WinME/Win9X/
+ X  F2 a7 h) A5 ?更新时间：2008-09-04 11:55:08
! j# K/ U# b+ s/ w授权方式：共享软件
! E- p: p( ?  f: B1 S; c# [0 x. `& m) @0 z
$ g- s  m: F  q/ E3 h1 l
软件说明
# D0 t' d/ ^) Q6 ]" b# O4 o1 X/ N! A0 r

2 n# F( k) s  i+ d4 y

) M  T8 j- _, p- X6 ~
8 F0 Q8 X1 P; P, u' t病毒评估
( f+ ~' Q2 A. l7 I7 Q: a7 W8 w2 c7 K2 m2 ?+ w

( ], D% T1 x# V病毒名称： Worm.Win32.MYcao
2 I) a" k- A, ]$ m$ X# J病毒名称英文：Worm.Win32.MYcao # `& G' |! h8 i9 W
病毒类型：感染型
# A0 p/ [2 [- y0 ]. B! i危险级别：★★★☆ * H8 U* ^+ r1 H1 t" C
传播方式：网络共享传播
. {9 L" u. g" F$ _3 q1 G受影响的系统： Windows 2000, Windows XP, Windows Server 2003 0 c/ x' f4 C! x3 c# N
未受影响的系统：Windows 3.x, Macintosh, Unix, Linux
7 F1 k% V+ s" Q7 `病毒危害：
' n$ [. |' F. W% B' s& A
/ k& F0 L- y% R4 r9 b6 x
5 J2 A  C) p4 Z7 z1 该病毒感染可执行文件
+ l" r. f* d( a7 k2 l% H* v" z) u2 感染WEB文件 & O' f' I/ C9 D) S* ^
3 下载其他病毒、木马 ) N' i) C2 y* [. q& z
4 破坏还原程序，删除备份文件
8 t0 p( w2 o" L; c) e8 r( h传播形式：
, H, H" Y9 L0 w2 Q2 v# @* G
. L+ _+ C( Y' g+ d, h
0 e/ u+ {# A& K2 F8 I1 释放病毒体到系统文件夹下：6 _' r5 F7 j  L6 Y4 t
C:\WINDOWS\Tasks\0x01xx8p.exe
  i1 s# T% O* {1 ~, {0 s' F每个分区下生成文件：- p' y/ l1 R- v2 G1 t: x  `) t9 S4 P
MSDOS.bat4 Q, ^- R* @) l
Autorun.inf# ^4 v- e# E# Q2 {. U
$ Y; n+ o: y3 b+ L% B
2 加载驱动程序，破坏还原程序：- t" e* K- z2 d$ V6 P, [9 }6 W: y0 S
病毒会释放驱动程序到C:\zzz.sys，然后加载。; m0 b% Y* |" q5 v5 s

7 Z- j6 ?% ~1 ~: ^3 O4 l, m3 感染系统文件Explore.exe，感染方式为：修改Explorer.exe程序的OEP，将程序的最后一节节名改为.MYCao，然后再将病毒体追加到最一节，并修改相应的节表信息。该病毒会将感染前的Explorer.exe文件备份到C:\WINDOWS\Tasks\SysFile.brk。
( a/ V4 b" S/ r: i4 下载其他病毒、木马：
, B, |/ |$ y4 o4 D: e& d该病毒链接到http://c.158***.com/config.txt，根据该配置文件列表，下载其他病毒、木马。* C8 [3 W- B6 n) V
5 感染可执行文件：* y# v: B2 i- o2 D. {* I
该病毒感染扩展名为：.exe, .com, .pif等的PE文件。
+ p# k7 d" D' N& s1 j6 感染WEB文件：
9 J) _1 @1 |/ I5 I& \( N' {7 d该病毒感染扩展名为：.do, .htm, .html, .shtm, .shtml, .asp, .aspx, .php, .jsp, cgi, .xml等的网页文件。/ ?3 J# _" y$ L) n9 H( I4 c7 N' d
7 删除备份文件：5 }& C: }: Z; v$ _! c8 W. C
该病毒删除扩展名为.gho的GHOST备份文件。; X  O! u( n  F( e5 m' Z. t
预防和处理办法:# D% ^# T9 j# P& M+ L+ q
; [$ _  L% K, B) R" A4 I
/ ]& V( V2 T* Z' r
1 关闭U盘的“自动播放功能”。运行可执行程序时先进行杀毒。 ' |8 B4 B1 f3 \, F# A
2 将病毒库升级到最新，并开启防病毒软件的实时监控。