Worm.Mydoom.ah

病毒别名：

处理时间：

威胁级别：★★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该蠕虫通过电子邮件进行传播，用户收到病毒邮件中，会有一个超链接，并有诱使用户打开超链接的文字。链接的网页为一个含有IFRAME标签缓冲区漏洞的网页，用户点击该后，存在该漏洞的浏览器会自动从网上下载病毒体，这时用户的IE浏览器会出现假死现象。若下载成功，则在机器上运行，从而使机器中毒。

1、将自身复制到如下目录中：

%System%\%随机字母%32.exe.

2、在注册表：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

添加如下键值：

"Reactor5" = "%System%\%随机字母%32.exe"

使每次启动时，病毒能自动运行。

3、尝试删除注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

以下键名：

center

reactor

Rhino

Reactor3

Reactor4

4、尝试注入其他进程，如果注入成功，则病毒进程在任务管理器中消失。

5、尝试在以下后缀名的文件中查找电子邮件地址

.adb

.asp

.dbx

.htm

.php

.pl

.sht

.tbb

.txt

.wab

6、过滤含有以下字符的电子邮件：

accoun

acketst

admin

anyone

arin.

be_loyal:

berkeley

borlan

certific

contact

example

feste

gold-certs

google

hotmail

ibm.com

icrosof

icrosoft

inpris

isc.o

isi.e

kernel

linux

listserv

mit.e

mozilla

mydomai

nobody

nodomai

noone

nothing

ntivi

panda

postmaster

privacy

rating

rfc-ed

ripe.

ruslis

samples

secur

sendmail

service

somebody

someone

sopho

submit

support

tanford.e

the.bat

usenet

utgers.ed

webmaster

7、向找到的电子邮件发送邮件：

主题为：

Hi!

hey!

空白

Confirmation

8、邮件内容可能为以下之一：

1)Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!

2)Hi! I am looking for new friends.

My name is Jane, I am from Miami, FL.

See my homepage with my weblog and last webcam photos!

See you!

3)Congratulations! PayPal has successfully charged 5 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.

To see details please click this link .

DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.

Thank you for using PayPal.

9、邮件内容中有一个超链接（http://已感染机器地址:1639/webcam.htm）。如果用户点击该链接，会打开一个带有最近发现的IE浏览器IFRAME标签溢出漏洞的网页，漏洞网页会下载http://已感染机器地址:1639/reactor （即：Worm.Mydoom.ah）到用户机器上，并运行

10、尝试利用TCP6667端口连接以下IRC服务器：

b*****y.ny.us.dal.net

b*****s.be.eu.undernet.org

c*****.eu.undernet.org

c*****.net

c*****al.net

d*****nl.eu.undernet.org

f*****s.be.eu.undernet.org

g*****.eu.undernet.org

l*****uk.eu.undernet.org

l*****eles.ca.us.undernet.org

l*****e.eu.undernet.org

o*****.dal.net

q*****us.dal.net

v*****er.dal.net

v*****dal.net

w*****ton.dc.us.undernet.org

11、开启TCP1639端口作为后门.

12、2004年12月15日02时28分，病毒自动停止运行。