论坛讨论:http://bbs.wglm.net/read.php?tid=68906
讨论2:http://bbs.wglm.net/read.php?tid=68711
更多:http://bbs.wglm.net
日发现IGM.EXE病毒大范围传播,很多网吧深受其害;大家务必引起重视。
目前发现该病毒不能够穿透还原,但是如果局域网内一有台中该病毒的话(如网游服务器);整个局域网就会受到影响;甚至瘫痪
该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢,掉线;甚至无法上网,同时造成整个局域网的不稳定。拦截局域网用户打开的网页。加载hxxp://ask.35832.com/main.js(为了防止点击http改成hxxp)从上面的网站下载木马盗号器,然后打开的网页会自动关闭。
病毒症状
1.MSconfig的启动项里发现IGM.EXE
2.会生存以下文件
c:\WINDOWS\IGW.exe(新变种)
c:\WINDOWS\AVPSrv.exe
c:\WINDOWS\DiskMan32.exe
c:\WINDOWS\IGM.exe
c:\WINDOWS\Kvsc3.exe
c:\WINDOWS\lqvytv.exe
c:\WINDOWS\MsIMMs32.exe
c:\WINDOWS\system32\3CEBCAF.EXE
c:\WINDOWS\system32\drivers\svchost.exe
c:\WINDOWS\system32\a.exe
c:\WINDOWS\upxdnd.exe
c:\WINDOWS\WinForm.exe
c:\WINDOWS\system32\rsjzbpm.dll
c:\WINDOWS\system32\racvsvc.exe
c:\WINDOWS\dbghlp32.exe
c:\WINDOWS\nvdispdrv.exe
c:\WINDOWS\system32\cmdbcs.dll
c:\WINDOWS\system32\dbghlp32.dll
c:\WINDOWS\system32\upxdnd.dll
c:\WINDOWS\system32\yfmtdiouaf.dll
C:\WINDOWS\49400MM.DLL
C:\WINDOWS\338448WO.DLL
C:\windows\235780mm.dll
c:\windows\235780WO.dll
4. 启动项目 -- 注册表之如下项删除:
[WinSys] <C:\\WINDOWS\\IGW.exe>
[WinSysM] <C:\\WINDOWS\\IGM.exe>
盘符下生存:Pegefile.pif; autorun.inf;
