病毒信息：

病毒名称: Worm.Mydoom.h

病毒长度: 32,256Bytes

中文名称: 诺维格

威胁级别: 3C

病毒别名:SCO炸弹 [瑞星]

病毒类型: 蠕虫、后门

受影响系统:Win9x/Win2000/WinXP/Windows Server 2003

技术特点：

· 传染条件：

A、利用邮件疯狂传播；

B、开后门监听，可做为代理服务器或自动下载并执行任意程序。

· 发作现象及危害：（点击查看详情）

A、检查C盘根目录下是否存在Feedlist文件，如果不存在，就会开启880个线程向

www.symantec.com发起DoS（拒绝服务）式攻击。

B、病毒搜索从C到Z的所有盘符，寻找具有以下后缀名的文件：

avi

doc

jpg

mp3

mp4

wav

wma

xls

病毒找到后，会释放病毒复本，复本名字使用找到的文件的文件名加上.exe的组合。

比如：病毒找到一个mydoc.doc的文件，就会释一个名为mydoc.doc.exe的病毒复本。

C、病毒使用WORD文档的图标

· 系统修改：

A、创建互斥体“theta”（是被感染系统的计算机名）来保证病毒只运行

一次；

B、可能在临时目录（%temp%)内建任意数据的文件，然后使用“记事本”来打开这个文件，

以达到欺骗用户的目的；

C、在系统目录（%system%）内创建以下文件

%system%\\<随机字符>.exe 病毒主程序的复本

%system%\\<随机字符>.dll 病毒实后门功能的模块

D、利用.dll文件打开后门在TCP端口80和1080进行监听，允许被感染系统做为代理服务器，

或是自动下载并执行其它程序；

E、终止许多系统进程并且尝试删除这些进程对应的程序。这些进程名所对应多为被病毒软件

的程序或是其它病毒的复本。

病毒会终止以下进程

adaware.exe

alevir.exe

arr.exe

au.exe

backweb.exe

bargains.exe

belt.exe

blss.exe

bootconf.exe

bpc.exe

brasil.exe

bundle.exe

bvt.exe

cfd.exe

cmd32.exe

cmesys.exe

datemanager.exe

dcomx.exe

divx.exe

dllcache.exe

dllreg.exe

dpps2.exe

dssagent.exe

emsw.exe

explore.exe

fsg_4104.exe

gator.exe

gmt.exe

hbinst.exe

hbsrv.exe

hotfix.exe

hotpatch.exe

htpatch.exe

hxdl.exe

hxiul.exe

idle.exe

iedll.exe

iedriver.exe

iexplorer.exe

inetlnfo.exe

infus.exe

infwin.exe

init.exe

intdel.exe

isass.exe

istsvc.exe

jdbgmrg.exe

kazza.exe

keenvalue.exe

kernel32.exe

launcher.exe

lnetinfo.exe

loader.exe

mapisvc32.exe

md.exe

mfin32.exe

mmod.exe

mostat.exe

msapp.exe

msbb.exe

msblast.exe

mscache.exe

msccn32.exe

mscman.exe

msdm.exe

msdos.exe

msiexec16.exe

mslaugh.exe

msmgt.exe

msmsgri32.exe

msrexe.exe

mssys.exe

msvxd.exe

netd32.exe

nssys32.exe

nstask32.exe

nsupdate.exe

onsrvr.exe

optimize.exe

patch.exe

pgmonitr.exe

powerscan.exe

prizesurfer.exe

prmt.exe

prmvr.exe

ray.exe

rb32.exe

rcsync.exe

run32dll.exe

rundll.exe

rundll16.exe

ruxdll32.exe

sahagent.exe

save.exe

savenow.exe

sc.exe

scam32.exe

scrsvr.exe

scvhost.exe

service.exe

servlce.exe

servlces.exe

showbehind.exe

sms.exe

smss32.exe

soap.exe

spoler.exe

spoolcv.exe

spoolsv32.exe

srng.exe

ssgrate.exe

start.exe

stcloader.exe

support.exe

svc.exe

svchostc.exe

svchosts.exe

svshost.exe

system.exe

system32.exe

sysupd.exe

teekids.exe

trickler.exe

tsadbot.exe

tvmd.exe

tvtmd.exe

webdav.exe

win-bugsfix.exe

win32.exe

win32us.exe

winactive.exe

window.exe

windows.exe

wininetd.exe

wininit.exe

wininitx.exe

winlogin.exe

winmain.exe

winnet.exe

winppr32.exe

winservn.exe

winssk32.exe

winstart.exe

winstart001.exe

wintsk32.exe

winupdate.exe

wnad.exe

wupdater.exe

wupdt.exe

还会终止包含以下字符串的进程

avpupd

avwupd

beagle

click

d3du

f**k (**为uc)

hotactio

intren

penis

porn

pussy

reged

sperm

taskmg

taskmo

updat

upgrad

utpost.

wkufind

F、搜索所有可写磁盘，随机在搜索到的目录中释放病毒复本或是含病毒的.zip压缩包；

G、添加以下键值

"随机键名" = "%system%\\<随机字符>.exe" 到

HKEY_CURRENT_USER\\Software\\Microsft\\Windows\\CurrentVersion\\Run

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

以便病毒可随机自启动

添加以下键值

"默认" = "%System%\\<随机字符>.dll" 到

HKEY_CLASSES_ROOT\\CLSID\\\\

InprocServer32

HKEY_CLASSES_ROOT\\CLSID\\\\

InprocServer32

可使Explorer.exe系统进程装载病毒的后门模块；

H、搜索具有以下后缀名的文件，收集文件中的电子邮件地址：

adb

asp

dbx

eml

htm

mbx

mht

mmf

msg

nch

php

rtf

sht

tbb

txt

uin

wab

I、从Internet Explorer的临目录（%Temporary Internet Files%）和WINDOWS的地址薄中收

集邮件地址；

K、病毒使用自己的发信引擎向收集的邮件地址发送病毒邮件，其邮件特征为：

病毒会避免向包含以下字符串的邮件地址发送病毒邮件：

berkeley

bsd

example.com

fsf.

gnu.

google.

ibm.com

isc.org

isi.edu

kernel.

mit.edu

mozilla.

packetstorm

rfc-edit

rutgers.edu

secur

sendmail.

sf.net

slashdot.

sourceforge

stanford.edu

uci.edu

ucsd.edu

unix

urlon

ymante

发件人：<以下字符串中之>

alex

bill

bob

james

john

kevin

peter

sales

sales

sales

sam

stan

tom

<或是随机字符串>

使用以下任意的邮件地址域名

aol.com

msn.com

yahoo.com

hotmail.com

<随机字符>.edu

另外，病毒也会使搜索到邮件地址做为发件人

主题：<以下字符串中之>

<空>

:)

:-)

Address verification

Alert

Attention

Auto-reply

Automatic notification

Bank information

Daily Report

Email verification

Empty

Expired account

For your eyes only

Interesting

Micro$oft

Microsoft

Please, confirm the registration

Registration

Registration rejected

Rejected

Reply

Request

Response

See you soon

Warning

You have been successfully registered

Your account details

Your account is about to be expired

Your account is expired

Your details

Your profile

Your request

Your request

account details

anna

beauty

confirmed

corrupted

dear friend!

details

do you love me

do you still love me

document

excel

excuse me

from me

fw:

greetings

hello

hello

hello my friend

hello! :)

内容: <以下字符串之一>

Details are in the attached document

Full message is in the attached documen

Here is the document

Here is the file

Here it is

Hi! Check the attachment for details

Look at the attached file

Look at the document

Ok

Okay

Open the document

Please have a look at the attached file

Please read the attached file

Please, read and let me know what do yo

Please, reply

Re:

Read the attached message

Read the document

Read this

See attachemnt

See attachment

See the attached document

See the attached file for details

See the attached message

See you

Test

Your document is attached

Your file is attached

test

附件名: 附件名使以下字符串随机构造

名字：

AttachedDocument

AttachedFile

Document

Letter

MoreInfo

TextDocument

TextFile

account

all_document

application

archive

att

attach

attachment

bill

check

description

details

doc

document

file

for_you

found

id

important

info

information

letter

mail

message

message_details

message_part2

misc

more

可选择的后缀名

exe

scr

pif

cmd

bat

com

zip

解决方案:

· 金山毒霸已经于3月4日对该病毒进行了应急处理，请升级最新版可完全查该病毒；

· 请一定留意收到的邮件，如果有附件，请不要打开附件，更不要执行附件中的可执行程序，注

意病毒程序伪装的图标，不要轻信图标为"电子表格、文本文件、文件夹"的附件。；

· 该病毒不易手工清楚，会造成清楚不干净的现象，请升级毒霸到2004年3月4日的病毒库可处理该病毒。