国家计算机病毒应急处理中心通过对互联网的监测,发现了一种MYDOOM蠕虫病毒的新变种Worm_Mydoom.M,应急中心对该病毒变种进行了分析处理发现,这种该病毒变种和早期的变种相似,都是通过SMTP并利用邮件进行传播。它从受感染系统的Windows地址簿、临时目录和某些固定驱动器中搜集目标邮件地址,并且该病毒在发送邮件的时候使用社会工程学技术,使得发出的邮件使用虚假的发件人,并且伪装成一封发送失败的通告信,这样来诱骗计算机用户。
蠕虫详细信息如下
病毒名称:Worm_Mydoom.M
其它命名:Worm.Novarg.an(瑞星)
WORM_MYDOOM.BB(趋势)
W32/Mydoom.bb@MM (McAfee)
W32.Mydoom.AX@mm(Symantec)
Worm.Win32.Mydoom.am (Kaspersky)
病毒类型:蠕虫
病毒大小:25,771字节
受影响系统: WinME/Win9x/WinNT/Win2000/WinXP
病毒特性:
该蠕虫主要通过邮件进行传播。一旦感染机器,它会从受感染系统中的Windows地址簿、临时目录和某些固定驱动器中搜集目标邮件地址,并且该蠕虫还会在发送邮件的时候使用社会工程学技术,使得发出的邮件使用虚假的发件人,并且伪装成一封发送失败的通告信,这样来诱骗计算机用户。
1、生成文件
蠕虫运行后,会在%System%目录下生成自身拷贝JAVA.EXE,并且还会在Windows临时目录中创建日志文件 Zincite.log,该文件包含病毒使用的一些数据。它同时创建一个互斥体,互斥体的名称来自它被执行系统的主机名。
2、修改注册表项
病毒添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加
JavaVM="%Windows%\java.exe"
Services="%Windows%\services.exe"
( %Windows%代表Windows 文件夹,通常是C:\Windows 或 C:\WINNT.)
还会创建如下注册表键作为病毒感染的标记:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
3、通过邮件传播
该病毒通过SMTP并利用邮件进行传播。首先,病毒会检查网络连接和本地DNS服务器的连接。随后,病毒还会搜索与目标地址域名相符的邮件交换器,一旦发现,病毒就会使用这些搜索到的邮件交换器作为自己的SMTP服务器,通过邮件向外传播。
4、后门功能
该病毒在%Windows%文件夹中产生一个名为SERVICES.EXE的后门组件,它可以通过打开TCP端口1034来等待自外部的连接请求。这样一来,一些恶意破坏程序以及黑客木马程序就有可能借机通过该端口进入到受感染的计算机内,造成计算机瘫痪,无法使用等严重后果。
专家提醒
1、 计算机一旦遭受病毒感染应首先断开网络(包括互联网和局域网),再进行病毒的检测和清除,避免病毒在更大范围内传播,造成更严重的危害。由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。还是请用户了解病毒邮件的基本特征,并谨慎处理,尤其对邮件的附件,不要随便运行。
2、 提醒广大计算机用户升级杀毒软件,启动"实时监控"和"个人防火墙",做好预防工作。
国家计算机病毒应急处理中心
