病毒名称:
Worm.Novarg.c.enc
类别: 蠕虫
病毒资料:
破坏方法:
病毒:"Worm.Novarg"变种
该病毒是蠕虫型病毒,采用upx压缩。
病毒运行时会释放后门程序为:%System%\ shimgapi.dll,该后门为一个代理服务器,端口为3127至3198,该模块还能根据传来的命令接受一个文件到本地系统并执行。可将该病毒文件直接删除。
注意:%system%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作系统安装目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。
病毒运行时会修改注册表:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32,在其中建立病毒键值:"(Default)" = "%System%\ shimgapi.dll ",目的是替换系统中的默认浏览器程序,使用户一打开浏览器,就能自动执行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
病毒会修改注册表的自启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,
在其中加入病毒键值:" TaskMon ",目的是开机时可以自动运行病毒。可以用注册表编辑工具(regedit.exe)将该病毒键值直接删除。
病毒将在一个时段范围内(2004.2.1至2004.2.12向www.sco.com网站发动Dos攻击)攻击线程达64个,如果攻击成功,将会导致这两个网站瘫痪,无法向用户提供服务。
病毒运行时将会在以下类型: .htm ,.sht ,.PHP ,.ASP ,.dbx ,.tbb ,.adb
.pl ,.wab ,.txt的文件中搜索email地址(病毒将避开.edu结尾的email地址),并向这些地址发送病毒邮件。
病毒邮件的附件是病毒体,采用双后缀形式来迷惑用户,常用的后缀为:.htm、.txt、.doc
病毒邮件为以下内容:
病毒邮件的标题为以下其中之一:
test,hi,hello,Mail Delivery System,Mail Transaction Failed,Server Report,Status Error
邮件内容为病毒用随机的数据进行编码。
当编码失败时病毒用:
The message cannot be represented in 7 -bit ASCII encoding and has been sent as a binary attachment.
test The message contains Unicode characters and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
或空内容作为邮件正文。
邮件的附件名为以下其中之一:
document,readme,doc,text,file,data,test,message,body
扩展名为以下其中之一:
.pif,.scr,.exe,.cmd,.bat,.zip
该病毒能通过一些P2P共享软件进行传播,病毒运行时会通过注册表Software\Kazaa\Transfer查询P2P软件的共享目录并将自己以随机选择体内的文件名将自己复制到该目录。
文件名为:
WinAMP5,icq2004-final,activation_crack,strip-girl-2.0bdcom_patches,rootkitXP, Office_crack,nuke2004。
扩展名为:
.pif,.scr,.bat,.exe
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-18