Worm.Mydoom.ah

病毒名称(中文):

病毒别名:

威胁级别:

★★★☆☆

病毒类型:

蠕虫病毒

病毒长度:

21508

影响系统:

Win9xWinNT

病毒行为:

该蠕虫通过电子邮件进行传播，用户收到病毒邮件中，会有一个超链接，并有诱使用户打开超链接的文字。链接的网页为一个含有IFRAME标签缓冲区漏洞的网页，用户点击该后，存在该漏洞的浏览器会自动从网上下载病毒体，这时用户的IE浏览器会出现假死现象。若下载成功，则在机器上运行，从而使机器中毒。

1、将自身复制到如下目录中：

%System%\%随机字母%32.exe.

2、在注册表：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加如下键值：

"Reactor5"="%System%\%随机字母%32.exe"

使每次启动时，病毒能自动运行。

3、尝试删除注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

以下键名：

center

reactor

Rhino

Reactor3

Reactor4

4、尝试注入其他进程，假如注入成功，则病毒进程在任务治理器中消失。

5、尝试在以下后缀名的文件中查找电子邮件地址

.adb

.asp

.dbx

.htm

.php

.pl

.sht

.tbb

.txt

.wab

6、过滤含有以下字符的电子邮件：

accoun

acketst

admin

anyone

arin.

be_loyal:

berkeley

borlan

certific

contact

example

feste

gold-certs

google

hotmail

ibm.com

icrosof

icrosoft

inpris

isc.o

isi.e

kernel

linux

listserv

mit.e

mozilla

mydomai

nobody

nodomai

noone

nothing

ntivi

panda

postmaster

privacy

rating

rfc-ed

ripe.

ruslis

samples

secur

sendmail

service

somebody

someone

sopho

submit

support

tanford.e

the.bat

usenet

utgers.ed

webmaster

7、向找到的电子邮件发送邮件：

主题为：

Hi!

hey!

空白

Confirmation

8、邮件内容可能为以下之一：

1)Hi!Iamlookingfornewfriends.IamfromMiami,FL.Youcanseemyhomepagewithmylastwebcamphotos!

2)Hi!Iamlookingfornewfriends.

MynameisJane,IamfromMiami,FL.

Seemyhomepagewithmyweblogandlastwebcamphotos!

Seeyou!

3)Congratulations!PayPalhassuccessfullycharged$175toyourcreditcard.YourordertrackingnumberisA866DEC0,andyouritemwillbeshippedwithinthreebusinessdays.

Toseedetailspleaseclickthislink.

DONOTREPLYTOTHISMESSAGEVIAEMAIL!Thisemailisbeingsentbyanautomatedmessagesystemandthereplywillnotbereceived.

ThankyouforusingPayPal.

9、邮件内容中有一个超链接（http://已感染机器地址:1639/webcam.htm）。假如用户点击该链接，会打开一个带有最近发现的IE浏览器IFRAME标签溢出漏洞的网页，漏洞网页会下载http://已感染机器地址:1639/reactor（即：Worm.Mydoom.ah）到用户机器上，并运行

10、尝试利用TCP6667端口连接以下IRC服务器：

b*****y.ny.us.dal.net

b*****s.be.eu.undernet.org

c*****.eu.undernet.org

c*****.net

c*****al.net

d*****nl.eu.undernet.org

f*****s.be.eu.undernet.org

g*****.eu.undernet.org

l*****uk.eu.undernet.org

l*****eles.ca.us.undernet.org

l*****e.eu.undernet.org

o*****.dal.net

q*****us.dal.net

v*****er.dal.net

v*****dal.net

w*****ton.dc.us.undernet.org

11、开启TCP1639端口作为后门.

12、2004年12月15日02时28分，病毒自动停止运行。

• ·Macro.Word97.VMPCK1.AE
• ·Macro.Word97.VMPCK1.AF
• ·Macro.Word97.VMPCK1.AG
• ·Macro.Word97.VMPCK1.AH
• ·Win32.Joke.ipSystem
• ·Macro.Word97.VMPCK1.AA
• ·Macro.Word97.VMPCK1.AC
• ·Macro.Word97.VMPCK1.AD
• ·Macro.Word97.Urkelsr
• ·Macro.Word97.Vermon