Carrytone：采用新方法传播的蠕虫

病毒名称: Carrytone
别名: I-Worm.Taripox.b
大小：40k

Carrytone是一个采用新技术、通过大量发送邮件的蠕虫，蠕虫大小只有40K，用C语言编写，运行于基于NT的系统上。

为了进行传播，蠕虫Carrytone使用了一个简单的SMTP 代理，监听染毒机器的25端口（标准的SMTP端口），当蠕虫开始运行后，它将从用户的e-mail设置中获取SMTP服务器名，然后修改HOSTS文件，将SMTP服务器的地址指向蠕虫正在监听的本机地址（localhost）。这样，当用户发送邮件的时候，邮件客户端将直接连到蠕虫而非邮件服务器。当收到连接指令后，蠕虫在客户端与实际MAIL服务器之间转播并回答所有命令直到它获得SMTP DATA命令来标记邮件数据的其始点，在这个位置，蠕虫将自身的副本插入消息体内。

附件的名称是收件人和'.doc.pif'的组合。

当带毒的附件被打开后，它将复制自身到Windows目录中，文件名为MMOPLIB.EXE。

并添加下列注册表：

[HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\mmopl


利用下面的注册件来存储一些数据：
[HKLM]\Software\Microsoft\Media Optimization Library

清除办法：

1、删除下列注册键中多余的值：

[HKLM]\Software\Microsoft\Windows\CurrentVersion\Run\mmopl
[HKLM]\Software\Microsoft\Media Optimization Library

2、重启系统，然后删除Windows目录下的MMOPLIB.EXE文件。

3、修改HOSTS文件，位置在%system_dir%\drivers\etc\hosts，将其中指向本机（127.0.0.1）的多余邮件服务器地址删除。