| 词条 | Worm.Mydoom.ag |
| 释义 | § 概述 病毒别名: 处理时间: 威胁级别:★★★ 中文名称: 病毒类型:蠕虫 影响系统:Win9x / WinNT § 病毒行为: 该蠕虫通过电子邮件进行传播,用户收到病毒邮件中,会有一个超链接,并有诱使用户打开超链接的文字。链接的网页为一个含有IFRAME标签缓冲区漏洞的网页,用户点击该后,存在该漏洞的浏览器会自动从网上下载病毒体,这时用户的IE浏览器会出现假死现象。若下载成功,则在机器上运行,从而使机器中毒。 1、将自身复制到如下目录中: %System%\\%随机字母%32.exe. 2、在注册表: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 添加如下键值: "Reactor3 = "%System%\\%随机字母%32.exe" 使每次启动时,病毒能自动运行。 3、尝试删除注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 以下键名: center reactor Rhino 4、尝试注入其他进程,如果注入成功,则病毒进程在任务管理器中消失。 5、尝试在以下后缀名的文件中查找电子邮件地址 .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab 6、过滤含有以下字符的电子邮件: accoun acketst admin anyone arin. be_loyal: berkeley borlan certific contact example feste gold-certs hotmail ibm.com icrosof icrosoft inpris isc.o isi.e kernel linux listserv mit.e mozilla mydomai nobody nodomai noone nothing ntivi panda postmaster privacy rating rfc-ed ripe. ruslis samples secur sendmail service somebody someone sopho submit support tanford.e the.bat usenet utgers.ed webmaster 7、向找到的电子邮件发送邮件: 主题为: Hi! 空白 随机 Confirmation funny photos :) hello hey! 8、邮件内容可能为以下之一: 1)FREE ADULT VIDEO! SIGN UP NOW! 2)Look at my homepage with my last webcam photos! 9、邮件内容中有一个超链接(http://已感染机器地址:1639/webcam.htm)。如果用户点击该链接,会打开一个带有最近发现的IE浏览器IFRAME标签溢出漏洞的网页,漏洞网页会下载http://已感染机器地址:1639/reactor(即:Worm.Mydoom.ah)到用户机器上,并运行 10、尝试利用TCP6667端口连接以下IRC服务器: b*****y.ny.us.dal.net b*****s.be.eu.undernet.org c*****.eu.undernet.org c*****.net c*****al.net d*****nl.eu.undernet.org f*****s.be.eu.undernet.org g*****.eu.undernet.org l*****uk.eu.undernet.org l*****eles.ca.us.undernet.org l*****e.eu.undernet.org o*****.dal.net q*****us.dal.net v*****er.dal.net v*****dal.net w*****ton.dc.us.undernet.org 11、开启TCP1639端口作为后门, 12、2004年12月15日02时28分,病毒自动停止运行。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。