病毒名称(中文):
病毒别名:
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
20751
影响系统:
Win9xWinNT
病毒行为:
该蠕虫通过电子邮件进行传播,用户收到病毒邮件中,会有一个超链接,并有诱使用户打开超链接的文字。链接的网页为一个含有IFRAME标签缓冲区漏洞的网页,用户点击该后,存在该漏洞的浏览器会自动从网上下载病毒体,这时用户的IE浏览器会出现假死现象。若下载成功,则在机器上运行,从而使机器中毒。
1、将自身复制到如下目录中:
%System%\%随机字母%32.exe.
2、在注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"Reactor3="%System%\%随机字母%32.exe"
使每次启动时,病毒能自动运行。
3、尝试删除注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下键名:
center
reactor
Rhino
4、尝试注入其他进程,假如注入成功,则病毒进程在任务治理器中消失。
5、尝试在以下后缀名的文件中查找电子邮件地址
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
6、过滤含有以下字符的电子邮件:
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
7、向找到的电子邮件发送邮件:
主题为:
Hi!
空白
随机
Confirmation
funnyphotos:)
hello
hey!
8、邮件内容可能为以下之一:
1)FREEADULTVIDEO!SIGNUPNOW!
2)Lookatmyhomepagewithmylastwebcamphotos!
9、邮件内容中有一个超链接(http://已感染机器地址:1639/webcam.htm)。假如用户点击该链接,会打开一个带有最近发现的IE浏览器IFRAME标签溢出漏洞的网页,漏洞网页会下载http://已感染机器地址:1639/reactor(即:Worm.Mydoom.ah)到用户机器上,并运行
10、尝试利用TCP6667端口连接以下IRC服务器:
b*****y.ny.us.dal.net
b*****s.be.eu.undernet.org
c*****.eu.undernet.org
c*****.net
c*****al.net
d*****nl.eu.undernet.org
f*****s.be.eu.undernet.org
g*****.eu.undernet.org
l*****uk.eu.undernet.org
l*****eles.ca.us.undernet.org
l*****e.eu.undernet.org
o*****.dal.net
q*****us.dal.net
v*****er.dal.net
v*****dal.net
w*****ton.dc.us.undernet.org
11、开启TCP1639端口作为后门,
12、2004年12月15日02时28分,病毒自动停止运行。
