5月9日,反病毒机构监测到了最新的“魔头”病毒变种(WORM_MYTOB.ED)和(WORM_MYTOB.EG)。
“魔头”是一种驻留内存的蠕虫病毒,通过在可以访问到的网络共享中产生自身拷贝进行传播。变种ED主要感染地区是亚太地区和欧洲,更新的变种EG主要攻击的地区是美国。这两个变种只在生成的文件名和对注册表的修改上略有区别。
这种驻留内存的病毒通过在可以访问到的网络共享中产生自身拷贝进行传播。它还会产生任意的IP地址并对该地址中的共享文件夹中产生自身拷贝。该病毒还通过使用自身的SMTP引擎发送带有自身拷贝的邮件进行传播,附件为ZIP压缩格式。病毒的样本邮件如图:
此外,该病毒具有后门功能,它会连接IRC服务器,通过监听来自远程恶意用户的命令,可以让远程用户对受感染的系统进行虚拟控制,从而危害系统的安全。同时,病毒还会通过对本机的重定向阻止用户访问某些防病毒和安全网站。
紧急解救方法:
如果不幸遇到这种病毒,请首先结束内存中运行的病毒进程。然后,从注册表中删除自动运行键,防止病毒在每次系统启动的时候运行。最后,删除HOSTS文件中产生的病毒键。需要提醒的是,Windows XP的用户必须禁用系统还原,从而可以对受感染的系统进行全面扫描。
厂商方案:
目前,趋势科技(http://www.trendmicro.com.cn/)提供了相应的解决方案,其用户可将病毒码升级到2.621,TSC升级至592。
病毒码下载地址:http://www.trendmicro.com/cn/support/updates/pattern/overview.htm。
TSC工具下载地址:ftp://ftp.trendmicro.com.cn/Support/Public/清毒工具/通用工具/TSC/DCT3.9_1120_P592.zip.