§ 名称

Worm_Mydoom.N

§ 相关资料

病毒名称："Mydoom变种"（Worm_Mydoom.N）

其它命名：W32/Mydoom.p@MM （McAfee）

W32.Mydoom.N@mm（symantec）

WORM_MYDOOM.N（trend）

I-Worm.Mydoom.n（Kaspersky）

Win32.Mydoom.P（冠群金辰）

病毒长度：35，328字节

病毒类型：蠕虫

感染系统：Windows 95/98/Me/NT/2000/XP/2003

病毒特性：

病毒以染毒邮件的附件形式到达，邮件的标题、内容、附件的名称都是可变的，长度约为35k。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成病毒文件，修改注册表，以达到自启动的目的。另外，病毒还具有后门功能。

1、生成病毒文件

该病毒运行后在%Windir%文件夹中生成文件java.exe和services.exe。

（其中，%Windir% 通常为C:\\windows或C:\\WINNT）

2、修改注册表

病毒修改注册表，以达到随系统启动而自动运行的目的，在

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\Current Version\\Run下创建：

JavaVM = "%Windir %\\java.exe"

Services = "%Windir %\\services.exe"

病毒还在注册表中创建以下键值，作为病毒感染的标记

HKCU\\SOFTWARE\\Microsoft\\Daemon

HKLM\\SOFTWARE\\Microsoft\\Daemon

3、通过电子邮件进行传播

病毒使用自身的SMTP引擎向外发送带毒电子邮件，进行传播。病毒会从扩展名为.adb、.asp、.dbx、.ht*、.php、.pl、.sht、.tbb、.tx*和.wab的文件中搜集邮件地址，并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。

病毒发送的邮件格式如下：

主题： （为下列之一）

hello

hi

error

status

test

report

delivery failed

Message could not be delivered

Mail System Error - Returned Mail

Delivery reports about your e-mail

Returned mail: see transcript for details

Returned mail: Data format error

正文：内容为可变的

附件的名称：（为下列之一）

readme

instruction

transcript

mail

letter

file

text

attachment

document

message

附件可能具有双扩展名：

第一个扩展名可能为：cmd、bat、com、exe、pif、scr、zip

第二个扩展名可能为：doc、txt、htm、html

4、后门功能

病毒生成的文件会开启TCP1034端口，并通过该端口监听来自远程用户的连接。

清除该病毒的建议：

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE

在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC

选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的JavaVM = "%Windir %\\java.exe"和Services = "%Windir %\\services.exe"

3、删除病毒文件

点击"开始-->查找"，找到病毒生成的文件java.exe和services.exe，并将其删除。

4、运行杀毒软件对系统进行全面的病毒查杀

• 稳健的货币政策
• 稳凳
• 稳切
• 稳利
• 稳到
• 稳协
• 稳压变压器
• 稳压泵
• 稳压管
• 稳受
• 稳可信
• 稳吃三注
• 稳向板帆艇
• 稳善
• 稳堰堰
• 稳婆
• 稳定光源
• 稳定凝析油
• 稳定剂
• 稳定土路面
• 稳定型劳累性心绞痛
• 稳定型酞菁蓝
• 稳定塘
• 稳定岛
• 稳定常数