名稱
相關資料
病毒信息:病毒名稱: Worm.Mydoom.q
中文名稱: “MYDOOM”
威脅級別: 3C
病毒別名: I-Worm.Mydoom.q 【AVP】
WORM_RATOS.A 【趨勢】
病毒類型: 蠕蟲
受影響系統:Win9x/WinNT/Win2K/WinXP/Win2003
破壞方式:
大量傳送病毒郵件,浪費網路和系統資源;大量病毒垃圾郵件可能造成中小型郵件伺服器極不穩定
,甚致崩潰的現象;
自動從網路中下載後門木馬,並立即執行。
發作現象:
通過以下註冊表鍵值函獲得,SMTP地址
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
"SMTP Email Address"
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
"SMTP Email Address"
在如下後綴名檔案中搜尋郵件地址
.htm .sht .php .asp .dbx .tbb .adb .wab .pl
如果搜尋的郵件地址含有以下字元
"syma"
"icrosof"
"msn."
"hotmail"
"panda"
"sopho"
"borlan"
"inpris"
"example"
"mydomai"
"nodomai"
"ruslis"
".gov"
"gov."
".mil"
"foo."
"unix"
"math"
"bsd"
"mit.e"
"gnu"
"fsf."
"ibm.com"
"google"
"kernel"
"linux"
"fido"
"usenet"
"iana"
"ietf"
"rfc-ed"
"sendmail"
"arin."
"ripe."
"isi.e"
"isc.o"
"secur"
"acketst"
"pgp"
"tanford.e"
"utgers.ed"
"mozilla"
"icrosoft"
"support"
"ntivi"
"unix"
"bsd"
"linux"
"listserv"
"certific"
"google"
"accoun"
"abuse"
"upport"
"www"
則不傳送給該地址
郵件發信人,為如下之一:
"alex"
"michael"
"james"
"mike"
"kevin"
"david"
"george"
"sam"
"andrew"
"jose"
"leo"
"maria"
"jim"
"brian"
"Serg"
"mary"
"ray"
"tom"
"peter"
"robert"
"bob"
"jane"
"joe"
"dan"
"dave"
"matt"
"steve"
"smith"
"stan"
"bill"
"bob"
"jack"
"fred"
"ted"
"adam"
"brent"
"alice"
"anna"
"brenda"
"claudia"
"debby"
"helen"
"jerry"
"jimmy"
"julie"
"linda"
"sandra"
發件域名為如下之一:
t-online.de
mail.com
yahoo.com
hotmail.com
從HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager讀到的域名
郵件主題為: photos
郵件內容為: LOL!;))))
病毒附屬檔案名: photos_arc.exe
2004年8月20日21點後自動停止運行
技術特點:
A、將自身複製到:
%Windows%\rasor32a.dll
%System%\winpsd.exe
B、在註冊表主鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值:
"winpsd" = "%System%\winpsd.exe"
C、在註冊表主鍵:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
添加如下鍵名:
"InstaledFlashhMX""="1"
如果該鍵名已存在,表示計算機已經感染,病毒不會再運行。
D、創建互斥量:43jfds93872
E、從
http://www.ricolour.com/ispy.1.jpg
http://www.ricolour.com/coco3.jpg
http://www.ricolour.com/guestbook/temp/temp587.gif
http://zenandjce.com/guestbook/temp/temp728.gif
下載後門程式winvpn32.exe(Win32.Hack.Surila.g)並運行該後門。
解決方案:
· 請使用金山毒霸2004年8月16日的病毒庫可完全處理該病毒;
· 企業級用戶請使用金山毒霸網路版來徹底防範該病毒的侵襲;
· 開啟金山毒霸病毒防火牆可防止病毒入侵。
安全建議:
· 建立良好的安全習慣。對一些來歷不明的郵件及附屬檔案不要打開,不要上一些不太了解的網、不
要執行從 Internet 下載後未經防毒處理軟體處理的檔案,這樣才能確保您的計算機更安全;
· 關閉或刪除系統中不需要的服務。默認情況下,許多作業系統會安裝一些輔助服務,這些服務
為攻擊者提供了方便,而又對用戶沒有太大用處,如果刪除它們,就能大大減少被攻擊的可能
性;
· 經常升級安全補丁。大多數網路病毒是通過系統安全漏洞進行傳播的,像蠕蟲王、衝擊波、震
盪波等 ,所以我們應該定期到微軟網站去下載最新的安全補丁,防患於未然;
· 使用複雜的密碼保護。有許多網路病毒就是通過猜測簡單密碼的方式攻擊系統的,因此使用復
雜的密碼,將會大大提高計算機的安全係數;
· 迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到
更多的感染,或者成為傳播源,再次感染其它計算機;
· 用戶還應該安裝個人防火牆軟體進行防黑。由於網路的發展,用戶電腦面臨的黑客攻擊問題也
越來越嚴重,許多網路病毒都採用了黑客的方法來攻擊用戶電腦, 因此,用戶還應該安裝個
人防火牆軟體,將安全級別設為中、高,這樣才能有效地防止網路上的黑客攻擊。
