病毒名称(中文):
"诺维格"变种
病毒别名:
W32/Mydoom.f@MM[McAfee]W32.Novarg.f@mm[Symante
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
34
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
诺维格
编写工具:汇编编写,UPX压缩
传染条件:通过邮件传播
发作条件:在每个月的17至22日对www.microsoft.com和www.riaa.com网站,发起DoS攻击。
系统修改:
A、拷贝自己到系统目录,使用有4到13个字母组成的随机名字,后缀名是exe;
B、搜索所有的盘符(从A到Z),查找含有“starup、Start、shar”字符串的文件夹,并释放病毒复本,病毒文件名随机生成;
C、在系统目录里释放DLL文件,该DLL文件用于在TCP1080端口开启后门,等待黑客连接上传恶程序。
D、结束含有以下字符串的进程,这些进程多为反病毒软件的主程序所使用,因此该病毒会中止大量反病毒软件,来提高自己的生存期:
reged
taskmo
taskmg
avp.
avp32
norton
navapw
navw3
intrena
mcafe
isc.o
E、在根目录或WINDOWS安装目录释放一个34K的.ZIP压缩包文件;
F、在注册表的主键:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosftWindowsCurrentVersionRun
中添加如下键值,使病毒可随机自启动:
<4到13个随机字符串>=%System%<4到13个随机字符串>.exe
创建如下键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell
G、驱动器为“硬盘、网络共享、RAM盘”时,病毒会随机删除以下文件,造成数据丢失
.mdb
.doc
.xls
.sav
.jpg
.avi
.bmp
发作现象:
A、病毒伪装成文本文件的图标,如下所示:
Worm.Novarg.e.1.gif
B、病毒在激活时可能显示如下对话框
Worm.Novarg.e.2.gif
C、在%temp%文件夹下释放一个随机的文本文件,并用“记事本”打开,显示如下
Worm.Novarg.e.3.gif
这可以做为中该病毒的特征;
非凡说明:
