病毒名称(中文):
诺维格
病毒别名:
W32.Mydoom.B@mm[Symantec]
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
29184
影响系统:
Win9xWin2000
病毒行为:
编写工具:
传染条件:
a.利用电子邮件传播;
b.利用Kazaa共享传播;
发作条件:
2004年2月1延续到2004年2月12日
系统修改:
a.创建如下文件:
%System%Ctfmon.dll
%Temp%Message:这个文件由随机字母通组成。
%System%Explorer.exe
b.复制自身到Kazaa共享目录中,文件名如下:
icq2004-final
Xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
ZapSetup_40_148
MS04-01_hotfix
Winamp5
AttackXP-1.26
NessusScan_pro
扩展名可能如下:
.pif
.scr
.bat
.exe
c.添加如下注册表项:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
"Explorer"="%System%Explorer.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Explorer"="%System%Explorer.exe"
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
%默认%="%System%ctfmon.dll"
d.修改系统hosts文件,屏蔽用户对以下网站的访问:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
发作现象:
a.从2004年2月1号开始开启多个线程可能对www.sco.com发动DOS攻击,从2月3日起可能对www.microsoft.com发起DOS攻击,直到2004年3月1日结束.
非凡说明:
a、%System%Ctfmon.dll的功能是一个代理服务器,开启后门,可下载执行任意程序.
b、病毒在如下后缀的文件中搜索电子邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
c、使用病毒自身的SMTP引擎发送邮件,他优先选择下面的域名服务器发送邮件,假如失败,则使用本地的邮件服务器发送。
gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.
d、邮件内容如下:
From:可能是一个欺骗性的地址
主题:
Returnedmail
DeliveryError
Status
ServerReport
MailTransactionFailed
MailDeliverySystem
hello
hi
正文:
sendmaildaemonreported:
Error#804occuredduringSMTPsession.Partialmessagehasbeenreceived.
Mailtransactionfailed.Partialmessageisavailable.
ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment.
ThemessagecontainsMIME-encodedgraphicsandhasbeensentasabinaryattachment.
Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment.
附件可能有双缀,假如有双后缀,则第一个可能的后缀如下:
.htm
.txt
.doc
第二个后缀可能如下:
.pif
.scr
.exe
.cmd
.bat
.zip
假如附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标