I-Worm/Mydoom.g
病毒长度:约20 KB
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Mydoom.g在TCP 80和1080端口开后门群发邮件,能够下载并执行任意文件,而且对一些特定的网站进行DoS(拒绝服务)攻击。
蠕虫传播过程及特征:
1.可能在临时文件夹(Temp)下生成一个文件,它包含一些随机产生的数据,默认以记事本程序打开;在系统文件夹下生成<随机值>.dll和<随机值>.exe(或scr)。
2.用蠕虫生成的.dll组件作为代理服务器在TCP 80和1080端口打开后门并进行监听,可以下载和执行任意文件。
3.终止大量的反病毒软件和一些蠕虫进程。
4.遍历从C到Z的所有驱动器,在随机选择的文件夹下创建<随机值>.exe(蠕虫副本)和<随机值>.zip(档案文件)
5.修改注册表:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun下添加"<随机小写字母>" = "%System%<蠕虫文件名>"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加"<随机小写字母>" = "%System%<蠕虫文件名>"
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InprocServer32下添加"<缺省直>" = "%System%<蠕虫文件名>.dll"
HKEY_CLASSES_ROOTCLSID{35CEC8A3-2BE6-11D2-8773-92E220524153}InprocServer32下添加"<缺省直>" = "%System%<蠕虫文件名>.dll"
6.搜索C:Feedlist文件,如果它不存在蠕虫就对一些特定的网站发动DoS攻击。
7.遍历从C到Z驱动器下有下列扩展名的文件:
avi ,doc ,jpg ,mp3 ,mp4 ,wav ,wma ,xls
蠕虫进行自我复制时,使用的文件名是:用上述找到的文件名并在其后追加.exe和.scr扩展名。
8.遍历从C到Z驱动器下为下列扩展名的文件,搜索包含"Inbox"字符的文件:
adb ,asp ,dbx ,eml ,htm ,mbx ,mht ,mmf
,msg ,nch ,php ,rtf ,sht ,tbb ,txt
,uin ,wab
如果是硬盘驱动器或RAM驱动器,蠕虫同时会搜索有效的邮件地址。
9.在IE的临时文件夹和Windows地址簿里搜索有效邮件地址,包含下列字符串的邮件地址视为无效:
berkeley ,bsd ,example.com ,fsf. ,gnu. ,
google. ,ibm.com ,isc.org ,isi.edu ,kernel. ,
mit.edu ,moziplla. ,packetstorm ,rfc-edit ,rutgers.edu ,secur ,sendmail. ,sf.net ,slashdot. ,sourceforge ,stanford.edu ,uci.edu
,ucsd.edu ,unix ,urlon ,ymante
10.用自带的引擎发送自身到上述地址,邮件有如下特征:
发件人:随机特征的名字加上下列域名:
aol.com ,msn.com ,yahoo.com ,hotmail.com,<随机值>.edu
主题:不一定
附件:扩展名为exe ,scr ,pif ,cmd ,bat ,
com ,zip的文件,用Windows Media程序图标显示。
