名稱
相關資料
病毒名稱:“麻布圖”(Worm_Mabutu.A)其它命名:W32/Mabutu.a@MM (McAfee)W32.Mota.B@mm(symantec)
WORM_MABUTU.A(trend)
I-Worm.Mabutu.a(Kaspersky)
Worm.Mabutu(瑞星)
Worm.Mabutu.a.32768(金山)
病毒長度:32,768位元組
病毒類型:蠕蟲
感染系統:Windows 95/98/Me/NT/2000/XP/2003
病毒特性:
病毒以染毒郵件的附屬檔案形式到達,附屬檔案的名稱是可變的,長度約為33k,擴展名為.EXE, .SCR或.ZIP。提醒用戶遇到此類郵件不要打開,應立即刪除。病毒運行後在系統資料夾下生成多個病毒檔案,修改註冊表,以達到自啟動的目的。
1、生成病毒檔案
該病毒運行後在%Windir%資料夾中釋放多個檔案,包括一個隨機名稱的.exe檔案(32,768位元組)和一個隨機名稱的.dll檔案(48,640位元組),還生成檔案CFG.DAT。
(其中,%Windir% 通常為C:\windows或C:\WINNT)
2、修改註冊表
病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
"winupdt"="RUNDLL32.EXE %Windir%\【隨機名稱】.dll,_mainRD"
3、通過電子郵件進行傳播
病毒使用自身的SMTP引擎進行傳播。病毒會從Windows地址簿(WAB)和MSN聯絡人名單中搜尋郵件地址,同時也會在擴展名為.HTM,.HTML,.TXT和 .WAB的檔案中蒐集郵件地址,並向這些地址傳送帶毒電子郵件。
病毒傳送的郵件格式如下:
主題: (為下列之一)
britney
Hello
I'm in love
I'm nude
Important
jenifer
Wet girls
正文:(為下列之一)
creme_de_gruyere
details
document
Fetishes
gutted
message
Ok cunt
photo
附屬檔案的名稱是可變的,擴展名為.exe、.scr或.zip
4、其它
病毒會嘗試連線預定的mirc伺服器特定頻道,用以通知遠程的惡意用戶系統已被該病毒感染。
清除該病毒的建議:
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE
在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC
選擇"任務管理器--〉進程",選中正在運行的病毒進程,並終止其運行。
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的"winupdt"="RUNDLL32.EXE %Windir%\【隨機名稱】.dll,_mainRD"
3、運行防毒軟體對系統進行全面的病毒查殺
