搜狐首页 - 新闻 - 体育 - 娱乐 - 财经 - IT - 汽车 - 房产 - 女人 - 短信 - 彩信 - 校友录 - 邮件 - 搜索 - BBS - 搜狗 
搜狐首页 >> IT频道首页 >> 软件生活 >> 病毒专区 >> 最新毒报 >> MyDoom病毒 >> 最新消息
恶性蠕虫“诺维格”(Novarg/Mydoom)分析报告
2004-01-29 09:16  转自: 搜狐IT
页面功能 【我来说两句】【我要“揪”错】【推荐】【字体: 】【打印】 【关闭

  病毒名称: Worm.Novarg.a

  中文名称: 诺维格

  威胁级别: 4A

  病毒别名:W32/Mydoom@MM [McAfee]

   WORM_MIMAIL.R [Trend]

   W32.Novarg.A@mm [Symantec]

  受影响系统: Win9x/NT/2K/XP/2003

  金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a),该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件,利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击,造成系统和网络资源的严重浪费。

  请立即升级金山毒霸病毒库到2004年1月27日的版本,即可完全处理该病毒。

  技术特征:

  1、创建如下文件:

  %System%shimgapi.dll

  %temp%Message, 这个文件由随机字母通组成。

  %System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。

  (注:%system%为系统目录,对于Win9x系统,目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)

  2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;

  3、添加如下注册表项:

  HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

  TaskMon = %System%\taskmon.exe

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  TaskMon = %System%\taskmon.exe

  使病毒可随机启动;

  添加如下注册表项:

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

  用于存储病毒的活动信息。

  4、对www.sco.com实施拒绝服务(DoS)攻击, 创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;

  5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:

  .htm

  .sht

  .php

  .asp

  .dbx

  .tbb

  .adb

  .pl

  .wab

  .txt

  6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;

  7、邮件内容如下:

  From: 可能是一个欺骗性的地址

  主题:

  test

  hi

  hello

  Mail Delivery System

  Mail Transaction Failed

  Server Report

  Status

  Error

  正文:

  Mail transaction failed. Partial message is available.

  The message contains Unicode characters and has been sent as a binary attachment.

  The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

  附件名称:

  document

  readme

  doc

  text

  file

  data

  test

  message

  body

  可能的后缀:

  pif

  scr

  exe

  cmd

  bat

  zip

  8、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pif\scr\bat),欺骗其它KaZaA用户下载,达到传播的目的:

  winamp5

  icq2004-final

  activation_crack

  strip-girl-2.0bdcom_patches

  rootkitXP

  office_crack

  nuke2004

  解决方案:

  1>升级毒霸病毒库到最新, 进行全盘查杀即可.

  2>手工清除:

   <1>终止恶意程序:

   打开windows任务管理器.

   在windows95/98/ME系统中, 按CTRL+ALT+DELETE

   在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.

   在运行程序列表中, 找到进程: taskmon.exe

   选择恶意程序进程, 然后点击结束任务或结束进程按钮(取决于windows的版本).

   为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.

   关掉任务管理器.

   *注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.

   <2>删除注册表中的自启动项目:

   从注册表中删除自动运行项目来阻止恶意程序在启动时执行.

   打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter

   在左边的面板中, 双击:

   HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run

   HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run

   在右边的面板中, 找到并删除如下项目:

   TaskMon = %System%\taskmon.exe

   *注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.

   *注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.

   <3>删除注册表中的其他恶意项目

   如下是删除注册表中其他恶意项目的说明.

   仍旧在注册表编辑器中, 在菜单条中点击编辑>查找, 在文本领域中输入"ComDlg32", 点击查找下一个.

   当像如下键值出现时, 删除键值和数据:

   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer

   \ComDlg32\Version

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

   \ComDlg32\Version

   关闭注册表编辑器.

  

2003十大“IT风云人物”
页面功能 【我来说两句】【我要“揪”错】【推荐】【字体: 】【打印】 【关闭





ChinaRen - 繁体版 - 搜狐招聘 - 网站登录 - 帮助中心 - 设置首页 - 广告服务 - 联系方式 - 保护隐私权 - About SOHU - 公司介绍
Copyright © 2004 Sohu.com Inc. All rights reserved. 搜狐公司 版权所有

相关连接

 ■ 我来说两句
用  户:        匿名发出:
请各位遵纪守法并注意语言文明。
 
*经营许可证编号:京ICP00000008号
*《互联网电子公告服务管理规定》
*《全国人大常委会关于维护互联网安全的规定》
短信内容:
手 机
自写包月5分钱/条 更多>>
搜狐天气为你抢先报! 魔力占卜姻缘一线牵!
金币不是赚的是抢的! 爱情玄机任由你游戏!
猪八戒这样泡到紫霞! 帅哥一定要看的宝典!
你受哪颗星星的庇护? 萨达姆最新关押照片!
精彩彩信
[和弦]欧若拉 一生有你
沧海一声笑
[音效]挪威的森林
爆铃 MP3 G点图 动画
[和弦]童话 你到底爱谁
[原唱]一千年以后 断点
[爆笑音效]赚钱拉 野花
[串烧]张韶涵 潘玮柏
精彩短信
[和弦]小薇 好心分手
[音效]当当当当 忘记


搜狐商城
·家电|品牌风扇新品热销
·音乐|秦海璐幸福回味
·图书|《眼镜蛇事件》
更多...