Win32.Mydoom.A ,又稱:W32.Novarg.A@mm (Symantec) ,W32/Mydoom@MM (McAfee)是蠕蟲病毒 , 危害性:高危害 ,流行程度:高。Win32.Mydoom.A 蠕蟲病毒可通過e-mail及網路共享傳播。病毒本身使用UPX壓縮。
基本介紹
- 外文名:Win32.Mydoom.A
- 病毒類型:蠕蟲
- 危害性:高危害
- 流行程度:高
具體介紹,附加查殺軟體,
具體介紹
病毒郵件的主題、內容以及所攜帶的附屬檔案檔案名稱稱都是可變的,但發件人的地址是:'spoofed'
病毒的主題可能來自其本身攜帶的列表或者隨機代碼生成程式。例如可能會是:
Error
hello
HELLO
hi
Hi
Mail Delivery System
Mail Transaction Failed
Server Report
Status
病毒郵件的內容也同樣有可能來自病毒自身的列表或者隨機程式生成,也有可能是空的。
郵件內容有可能是:
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
Mail transaction failed. Partial message is available.
附屬檔案檔案的名字也是不固定的,有可能是:
Data、Readme、Message、Body、Text、File、Doc、document
而且使用的後綴名也是不同的。可能會使用到的後綴名:
.bat, .cmd, .pif, .exe, and .scr. zip.
當病毒程式被激活後,它回在以下後綴名的檔案中查找e-mail地址:
adb、asp、dbx、htm、php、sht、tbb、txt、wab
在2004年2月12日此病毒將停止傳播(傳送病毒郵件)。但是病毒仍然會在系統中釋放一個後門程式:shimgapi.dll
此病毒傳播的第二種途徑:P2P的網路共享。病毒使用下面的檔案名稱將自身拷貝到傳送的目錄中:
nuke2004、office_crack、rootkitXP、strip-girl-2.0bdcom_patches、activation_crack、icq2004-final、winamp5
可能會使用的後綴名:bat、exe、pif、scr
感染系統:
當病毒程式被執行後,病毒將自身拷貝到:系統%System% 目錄(檔案名稱稱:taskmon.exe),並且更改註冊表,以便下次系統重新啟動時自動運行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = "%System%\taskmon.exe"
病毒還會在系統%System% 目錄生成SHIMGAPI.DLL 檔案,並且更改註冊表:
HKCR\CLSID\\InProcServer32\
[Default] = "%System%\shimgapi.dll"
當病毒首次執行時,它會在系統的臨時目錄中建立一個 郵件檔案。可使用記事本來查看此檔案:
病毒同時會在修改註冊表的以下兩個地方建立健值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
病毒的後門功能:
Win32.Mydoom 會監聽 TCP port 3127 ,(如果這個連線埠被其他程式使用,病毒嘗試使用後面的連續三個連線埠3128- 3199 )。
Dos攻擊:
病毒將在一個時段範圍內(2004.2.1至2004.2.12向www.sco.com網站發動Dos攻擊)攻擊執行緒達64個。
附加查殺軟體
專用病毒清除工具:>> clnmydoom.zip 點擊下載 << 可清除本地系統的Win32.Mydoom 病毒。此工具用於沒有反病毒軟體以及使用早期kill98/2000產品的用戶。使用前請閱讀其中的README.TXT
