§ 名称

Worm_Mydoom.S

§ 相关资料

病毒名称：Worm_Mydoom.S

其它命名：I-Worm.Mydoom.q （Kaspersky）

W32.Mydoom.Q@mm （Symantec）

W32/Mydoom.R@mm （F-Secure）

W32/Mydoom.s@MM （McAfee）

Worm.Mydoom.q（金山）

Win32.Mydoom.s（冠群金辰）

WORM_RATOS.A（Trendmicro）

I-Worm.Mydoom.q（AVP）

病毒类型：蠕虫

病毒长度：27，136字节

受影响的系统：Windows 95/98/Me/NT/2000/XP/2003

病毒特性：

1、生成病毒文件

该病毒运行后在系统内生成下列文件，

%System%\\winpsd.exe

%Windows%\\rasor38a.dll

（其中，%Windows%通常为C:\\Windows或C:\\Winnt，%System%在Windows 95/98/Me 下为C:\\Windows\\System，在Windows NT/2000下为C:\\Winnt\\System32，在Windows XP下为 C:\\Windows\\System32）

2、修改注册表

病毒修改注册表，以达到随系统启动而自动运行的目的，在

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下创建

winpsd = "%System%\\winpsd.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer下创建

"InstaledFlashhMX""="1"

用以判定该系统已经被感染。

3、通过电子邮件进行传播

病毒使用自身的SMTP引擎向外发送带毒电子邮件，进行传播。病毒会从注册表的相关键值下和多种扩展名的文件中搜集邮件地址，病毒还会按照一些制定的规则自己声称邮件地址，并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。

病毒发送的邮件格式如下：

主题：photos

正文：LOL!;））））

附件：photos_arc.exe

4、其他

病毒会尝试从多个URL下载并执行一个后门程序，如下载成功，会将其保存在Windows文件夹中，名称为winvpn32.exe。该后门程序允许恶意用户远程访问被感染的计算机，从而使系统安全受到威胁。

清除该病毒的相关建议：

1、终止病毒进程

在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE

在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC

选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。

2、注册表的恢复

点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的winpsd = "%System%\\winpsd.exe"

3、删除病毒文件

点击"开始--〉查找--〉文件和文件夹"，查找"winpsd.exe"、" rasor38a.dll "，并将找到的文件删除。

4、运行杀毒软件对系统进行全面的病毒查杀

国家计算机病毒应急处理中心提醒广大用户升级杀毒软件，启动实时监控功能，留意病毒邮件的特征，收到此类邮件千万不要打开附件，应立即删除。

• 《黑拳》
• 《黑描》
• 《黑日危机》
• 《黑暗》
• 《黑暗与光明》
• 《黑暗中的呼号》
• 《黑暗中的舞者》
• 《黑暗中的舞者》
• 《黑暗中的舞者》
• 《黑暗中跳舞的青春》
• 《黑暗之光》
• 《黑暗侵袭》
• 《黑暗侵袭》
• 《黑暗侵袭》
• 《黑暗地带》
• 《黑暗地平线》
• 《黑暗城市》
• 《黑暗学徒》
• 《黑暗扫描仪》
• 《黑暗扫瞄仪》
• 《黑暗漫行者》
• 《黑暗的另一半》
• 《黑暗的沉沦》
• 《黑暗的蝴蝶》
• 《黑暗空隙》