igm病毒大范围传播 网吧深受其害

日前发现igm.exe病毒大范围传播，很多网吧深受其害；大家务必引起重视。 

目前发现该病毒不能够穿透还原，但是如果局域网内一有台中该病毒的话（如网游服务器）；整个局域网就会受到影响；甚至瘫痪。

该病毒利用MAC地址欺骗进行局域网传播。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢，掉线；甚至无法上网，同时造成整个局域网的不稳定。拦截局域网用户打开的网页。加载hxxp://ask.35832.com/main.js(为了防止点击http改成hxxp)从上面的网站下载木马盗号器，然后打开的网页会自动关闭。 

病毒症状 

1．MSconfig的启动项里发现IGM.EXE 

2．会生存以下文件 

c:\WINDOWS\IGW.exe（新变种） 

c:\WINDOWS\AVPSrv.exe 

c:\WINDOWS\DiskMan32.exe 

c:\WINDOWS\IGM.exe 

c:\WINDOWS\Kvsc3.exe 

c:\WINDOWS\lqvytv.exe 

c:\WINDOWS\MsIMMs32.exe 

c:\WINDOWS\system32\3CEBCAF.EXE 

c:\WINDOWS\system32\drivers\svchost.exe 

c:\WINDOWS\system32\a.exe 

c:\WINDOWS\upxdnd.exe 

c:\WINDOWS\WinForm.exe 

c:\WINDOWS\system32\rsjzbpm.dll 

c:\WINDOWS\system32\racvsvc.exe 

c:\WINDOWS\dbghlp32.exe 

c:\WINDOWS\nvdispdrv.exe 

c:\WINDOWS\system32\cmdbcs.dll 

c:\WINDOWS\system32\dbghlp32.dll 

c:\WINDOWS\system32\upxdnd.dll 

c:\WINDOWS\system32\yfmtdiouaf.dll 

     C:\WINDOWS\49400MM.DLL 
     C:\WINDOWS\338448WO.DLL 
     C:\windows\235780mm.dll 
     c:\windows\235780WO.dll 

4. 启动项目 －－ 注册表之如下项删除： 
[WinSys]     <C:\\WINDOWS\\IGW.exe> 
[WinSysM]     <C:\\WINDOWS\\IGM.exe> 

盘符下生存：Pegefile.pif; autorun.inf;