Email-Worm.Win32.Nyxem.e

该病毒属邮件蠕虫类，病毒盗用WINZIP图标，借以欺骗用户浏览。病毒主要通过发送含有病毒附件的邮件进行传播。病毒运行后复制原病毒体到%System%Sample.zip，而后复制原病毒体到%wnidir%及%System%下，修改注册表文件，添加到启动项，达到随系统启动的目的。

Email-Worm.Win32.Nyxem.e介绍

该病毒属邮件蠕虫类，病毒盗用WINZIP图标，借以欺骗用户浏览。病毒主要通过发送含有病毒附件的邮件进行传播。病毒运行后复制原病毒体到%System%Sample.zip，而后复制原病毒体到%wnidir%及%System%下，修改注册表文件，添加到启动项，达到随系统启动的目的。

Email-Worm.Win32.Nyxem.e病毒描述

病毒通过搜索感染主机上某些扩展名的文件获取其中的邮件地址来发送邮件。病毒还会尝试终止某些反病毒及安全软件的相关进程，并尝试删除%ProgramFiles%下这些软件的相关文件，该病毒对用户有一定的危害。

Email-Worm.Win32.Nyxem.e行为分析

1、病毒运行后复制原病毒体到：

%System%Sample.zip

%System%New WinZip File.exe

%System%scanregw.exe

%System%Update.exe

%System%Winzip.exe

%System%WINZIP_TMP.EXE

%Start Menu%ProgramsStartupWinZip Quick Pick.exe

%Windir%rundll16.exe

2、修改注册表文件：

新建以下键值：

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

键值：字串： "ScanRegistry"="scanregw.exe /scan"

查找某些反病毒及安全软件的相关键值并尝试删除：

位置：

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRun

HKEY_LOCAL_METHINESoftwareMicrosoftWindows

CurrentVersionRunServices

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRun

对应键值：

PCCClient.exe

pccguide.exe

PCCIOMON.exe

PccPfw

Pop3trap.exe

rtvscn95

ScanInicio

SSDPSRV

TM Outbreak Agent

tmproxy

Vet alert

VetTray

vptray

NPROTECT

ccApp

3、病毒运行后尝试查找以下扩展名的文件，并从中获取邮件地址继而发送邮件，病毒通过SMTP服务器发送邮件。

dbx

mbx

msg

nws

oft

txt

eml

imh

msf

htm

病毒邮件的题目可能为：

Fw: DSC-00465.jpg

Fw: Funny :)

Fw: Picturs

Fw: Real show

Fw: SeX.mpg

Fw: Sexy

Fwd: Crazy illegal Sex!

Fwd: image.jpg

……

病毒邮件的主体可能为：

how are you? i send the details.

i attached the details. Thank you.

Hot XXX Yahoo Groups

i just any one see my photos. It's Free :)

Note: forwarded message attached. You Must View This Videoclip!

……

病毒附件可能为：

007.pif

3923E-02,.scR

677.pif

Adults_9,zip.sCR

Arab sex DSC-00465.jpg

ATT01.zip.sCR

eBook.pdf

eBook.PIF

Clipe,zip　 .sCr

WinZip,zip　 .scR

Adults_9,zip 　 .sCR

Photos,zip　.sCR

Attachments,B64　.sCr

3923E-02,UUE　.scR

SeX,zip　.scR

WinZip.zip　.sCR

ATT01.zip　.sCR

Word.zip　.sCR

Word XP.zip　 .sCR

New Video,zip　.sCr

Attachments,zip　.SCR

Atta,zip　.SCR

……

4、病毒遍历系统当前进程，并尝试终止含有以下字符串的进程，病毒还会尝试删除%ProgramFiles%下这些反病毒及安全软件的相关文件：

kaspersky

removal

mcafee

scan

norton

symantec

trend micro

virus

……

5、病毒也可应通过网络共享传播，如：

c$documents and SettingsAll UsersStart Menu

ProgramsStartupWinZip Quick Pick.exe

c$documents and SettingsAll UsersStart Menu

ProgramsStartupWinZip Quick Pick.lnk

Admin$WINZIP_TMP.exe

c$WINZIP_TMP.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

Email-Worm.Win32.Nyxem.e清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程：

Sample.zip

New WinZip File.exe

scanregw.exe

Update.exe

Winzip.exe

WINZIP_TMP.EXE

(2) 删除病毒文件：

%System%Sample.zip

%System%New WinZip File.exe

%System%scanregw.exe

%System%Update.exe

%System%Winzip.exe

%System%WINZIP_TMP.EXE

%User Profile%Start MenuProgramsStartupWinZip Quick Pick.exe

%Windir%rundll16.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINESoftwareMicrosoftWindowsCurrentVersionRun

键值：字串： "ScanRegistry"="scanregw.exe /scan"