Worm.Novarg.a

病毒名称(中文):

诺维格

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

22528

影响系统:

Win9xWin2000

病毒行为:

编写工具:

传染条件:运行病毒文件

5、在如下后缀的文件中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：

.htm

.sht

.php

.asp

.dbx

.tbb

.adb

.pl

.wab

.txt

6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，假如失败，则使用本地的邮件服务器发送。

7、邮件内容如下：

From:可能是一个欺骗性的地址

主题:

test

hi

hello

MailDeliverySystem

MailTransactionFailed

ServerReport

Status

Error

正文:

Mailtransactionfailed.Partialmessageisavailable.

ThemessagecontainsUnicodecharactersandhasbeensentasabinaryattachment.

Themessagecannotberepresentedin7-bitASCIIencodingandhasbeensentasabinaryattachment.

附件名称:

document

readme

doc

text

file

data

test

message

body

可能的后缀:

pif

scr

exe

cmd

bat

zip

发作条件:

2004年2月1延续到2004年2月12日

系统修改:

a、创建如下文件：

%System%shimgapi.dll

%temp%Message，这个文件由随机字母通组成。

%System%taskmon.exe,假如此文件存在，则用病毒文件覆盖。

b、添加如下注册表项：

HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun

TaskMon=%System%askmon.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

TaskMon=%System%askmon.exe

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version

发作现象:

对www.sco.com实施拒绝服务攻击,创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日

非凡说明:

a、Shimgapi.dll的功能是一个代理服务器，他开启3127到3198范围内的TCP端口进行监听。

b、拷贝自己到KaZaA下载目录下，伪装成如下文件，后缀可能为(pifscrat)：

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004