| 词条 | Worm.Mydoom.ai |
| 释义 | § 概述 病毒别名: 处理时间:2005-01-18 威胁级别:★★ 中文名称: 病毒类型:蠕虫 影响系统:Win9x / WinNT § 病毒行为: 该蠕虫通过电子邮件和P2P软件共享进行传播,伪装为反病毒公司、世界银行、XXX网站、或IFCC的信件之一诱使用户打开附件。病毒图片为记事本图标。病毒运行后,会打开记事本,并显示一些垃圾数据。然后在用户硬盘上寻找电子邮件地址,以散发病毒邮件。病毒还会修改安全软件网站的IP转向,使得用户的安全软件无法正常升级。 1、病毒生成以下文件: %System%\\lsasrv.exe %System%\\version.ini %System%\\hserv.sys 2、在注册表中添加如下键值: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run "lsass" = "%System%\\lsasrv.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon "Shell" = "explorer.exe %System%\\lsasrv.exe" 以便在每次重启机器时,病毒可以自动运行。 3、添加以下注册表键: HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellSmash HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellSmash 4、在临时目录中生成一个名为Mes#wtelw文件,并用记事本打开,其内容为垃圾数据 5、创建以下互斥量: -=RTSW.Smash=- 6、修改Host文件 127.0.0.1 www.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 symantec.com 127.0.0.1 www.sophos.com 127.0.0.1 sophos.com 127.0.0.1 www.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 www.viruslist.com 127.0.0.1 viruslist.com 127.0.0.1 www.f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 www.avp.com 127.0.0.1 avp.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 www.ca.com 127.0.0.1 ca.com 127.0.0.1 mast.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 download.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 www.nai.com 127.0.0.1 nai.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 us.mcafee.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 customer.symantec.com 127.0.0.1 rads.mcafee.com 127.0.0.1 www.trendmicro.com 127.0.0.1 trendmicro.com 127.0.0.1 www.grisoft.com 127.0.0.1 grisoft.com 以禁止感染机器访问这些网站 7、尝试中止以下进程运行: i11r54n4.exe irun4.exe d3dupdate.exe rate.exe ssate.exe winsys.exe winupd.exe SysMonXP.exe bbeagle.exe Penis32.exe teekids.exe MSBLAST.exe mscvb32.exe sysinfo.exe PandaAVEngine.exe taskmon.exe wincfg32.exe outpost.exe zonealarm.exe navapw32.exe navw32.exe zapro.exe msblast.exe netstat.exe 8、使用以下名称,将自身复制到eDonkey、iMesh、Kazaa、 LimeWire,以及 Morpheus 等P2P软件的共享目录中: porno NeroBROM6.3.1.27 avpprokey Ad-awareref01R349 winxp_patch adultpasswds dcom_patches K-LiteCodecPack2.34a activation_crack icq2004-final winamp5 q 下载以下两个文件 http://nermasteno.com\\com.txt http://opsanted.com\\com.txt 9、在感染计算机中所有以下后缀名文件中搜集电子邮件地址: .adb .asa .asc .asm .asp .cgi .con .csp .dbx .dlt .dwt .edm .hta .htc .htm .inc .jsp .jst .lbi .php .rdf .rss .sht .ssi .stm .tbb .tpl .txt .vbp .vbs .wab .wml .xht .xml .xsd .xst 10、如果找到的电子邮件中含有以下字符,则不发送 accoun certific listserv ntivi support icrosoft admin page the.bat gold-certs feste submit not help service privacy somebody soft contact site rating bugs you your someone anyone nothing nobody noone webmaster postmaster samples info root mozilla utgers.ed tanford.e pgp acketst secur isc.o isi.e ripe. arin. sendmail rfc-ed ietf iana usenet fido linux kernel ibm.com fsf. gnu mit.e bsd math unix berkeley foo. .mil gov. .gov ruslis nodomai mydomai example inpris borlan sopho panda hotmail msn. icrosof syma avp .edu abuse www fcnz spm 11、发送的邮件可能含有含有以下内容: 1)主题为以下之一: Attention!!! Do not reply to this email Error Good day hello Mail Delivery System Mail Transaction Failed Server Report Status 2)内容可能为以下之一: ■The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. ■Mail transaction failed. Partial message is available. ■Here are your documents you are requested. ■ ■ ■ ■ 3)附件名为以下之一: body message docs data file rules doc readme document 4)附件扩展名可能为以下之一: .bat .cmd .exe .scr .pif .zip |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。