我国发现Worm_Mydoom.F病毒
国家计算机病毒应急处理中心通过对互联网的监测,于2004年2月24日发现异常的病毒的邮件,经分析证实该病毒为Worm_Mydoom.F。
该病毒通过邮件传播的蠕虫病毒。病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会在 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患。病毒还会扩展名为.mdb、.doc、.xls、.sav、.jpg、.avi、.bmp的文件,并在每个月的17到22号之间时,发起对网站www.riaa.com 和www.microsoft.com 进行DOS攻击。病毒具有破坏性。
有关病毒的的技术文档如下:
病毒名称:Worm_Mydoom.F
病毒别名:I-Worm.Mydoom.e (Kaspersky)
W32/Mydoom.f@MM(McAfee)
Win32/Mydoom.F.Worm, Worm_Mydoom.F (Trend)
“SCO炸弹变种D”病毒(瑞星)
“Mydoom.F”病毒(金山)
病毒长度:34,568字节
病毒类型:蠕虫
影响系统:Win 95/98/NT/2000/Me/XP/Server 2003
病毒特征:
Worm_Mydoom.F是一种通过邮件传播的蠕虫病毒。病毒本身是一个可执行文件,可能包含在一个ZIP压缩包里。当病毒运行时,会在多个文件夹下生成多个随机字母组成的病毒文件。病毒具有后门功能,会在 TCP 端口 1080 上打开后门程序,并可以下载和执行任意文件,还会开放一些UDP端口,给系统安全带来隐患。病毒还会扩展名为.mdb、.doc、.xls、.sav、.jpg、.avi、.bmp的文件,并在每个月的17到22号之间时,发起对网站www.riaa.com和www.microsoft.com进行DOS攻击。
病毒发作后有可能显示一个对话框或者启动记事本。信息可能包括:
“File cannot be opened”
“File is corrupted”
“Unable to open specified file”
1、 生成病毒文件
病毒会拷贝自己到系统目录%windows%下(Windows 2000下为:C:\Winnt,Windows XP下为C:\Windows),文件名是随机产生的。
病毒在多个文件夹下生成病毒文件,病毒文件的文件名为随机生成的4 到 13 个小写字母组成,扩展名为 .exe。病毒还在多个文件夹下使用随机的文件名创建 .zip 存档文件。
在 %System% 文件夹中创建 .dll 文件,病毒文件的文件名为随机生成的4 到8个小写字母组成,并在 .dll 文件结尾附加随机生成的数据。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、在Windows XP中为C:\Windows\System32 )
2、 修改注册表项
病毒会添加注册表项,使得自身能够在系统启动时自动运行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run 下添加
“<4到8个随机的小写字母>” = [...]
Loading ...
Write a Comment
Gravatars are small images that can show your personality. You can get your gravatar for free today!