Worm.Mydoom.ai

Worm.Mydoom.ai通過電子郵件和P2P軟體共享進行傳播,偽裝為反病毒公司、世界銀行、XXX網站、或IFCC的信件之一誘使用戶打開附屬檔案。病毒圖片為記事本圖示。病毒運行後,會打開記事本,並顯示一些垃圾數據。然後在用戶硬碟上尋找電子郵件地址,以散發病毒郵件。病毒還會修改安全軟體網站的IP轉向,使得用戶的安全軟體無法正常升級。

基本介紹

基本信息,解決方法,搜尋電子郵件中存在病毒,

基本信息

病毒別名:
中文名稱:
影響系統:Win9x / WinNT

解決方法

1、病毒生成以下檔案:
%System%\lsasrv.exe
%System%\version.ini
%System%\hserv.sys
2、在註冊表中添加如下鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"lsass" = "%System%\lsasrv.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "explorer.exe %System%\lsasrv.exe"
以便在每次重啟機器時,病毒可以自動運行。
3、添加以下註冊表鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellSmash
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellSmash
4、在臨時目錄中生成一個名為Mes#wtelw檔案,並用記事本打開,其內容為垃圾數據
5、創建以下互斥量
-=RTSW.Smash=-
6、修改Host檔案
127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
以禁止感染機器訪問這些網站
7、嘗試中止以下進程運行:
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
taskmon.exe
wincfg32.exe
outpost.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
8、使用以下名稱,將自身複製到eDonkey、iMesh、Kazaa、 LimeWire,以及 Morpheus 等P2P軟體的已分享資料夾中:
porno
NeroBROM6.3.1.27
avpprokey
Ad-awareref01R349
winxp_patch
adultpasswds
dcom_patches
K-LiteCodecPack2.34a
activation_crack
icq2004-final
winamp5 q
下載以下兩個檔案
http://nermasteno.com\com.txt
http://opsanted.com\com.txt

搜尋電子郵件中存在病毒

9、在感染計算機中所有以下後綴名檔案中蒐集電子郵件地址:
.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.dbx
.dlt
.dwt
.edm
.hta
.htc
.htm
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tpl
.txt
.vbp
.vbs
.wab
.wml
.xht
.xml
.xsd
.xst
10、如果找到的電子郵件中含有以下字元,則不傳送
accoun
certific
listserv
ntivi
support
icrosoft
admin
page
the.bat
gold-certs
feste
submit
not
help
service
privacy
somebody
soft
contact
site
rating
bugs
you
your
someone
anyone
nothing
nobody
noone
webmaster
postmaster
samples
info
root
mozilla
utgers.ed
tanford.e
pgp
acketst
secur
isc.o
isi.e
ripe.
arin.
sendmail
rfc-ed
ietf
iana
usenet
fido
linux
kernel
google
ibm.com
fsf.
gnu
mit.e
bsd
math
unix
berkeley
foo.
.mil
gov.
.gov
ruslis
nodomai
mydomai
example
inpris
borlan
sopho
panda
hotmail
msn.
icrosof
syma
avp
.edu
abuse
www
fcnz
spm
11、傳送的郵件可能含有含有以下內容:
1)主題為以下之一:
Attention!!!
Do not reply to this email
Error
Good day
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
2)內容可能為以下之一:
■The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
■Mail transaction failed. Partial message is available.
■Here are your documents you are requested.
3)附屬檔案名為以下之一:
body
message
docs
data
file
rules
doc
readme
document
4)附屬檔案擴展名可能為以下之一:
.bat
.cmd
.exe
.scr
.pif
.zip

熱門詞條

聯絡我們