“W32.Mydoom.AX@mm”的意思、由来-中文百科全书

简介

发现： 2005 年 2 月 16 日

更新： 2007 年 2 月 13 日 12:33:37 PM

别名： Win32.Mydoom AU [Computer Asso, Email-Worm.Win32.Mydoom am [Ka, W32/Mydoom bb@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM BB [Trend Micro]

类型: Worm

感染长度： Varies

受感染的系统

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

注意

* 需要使用病毒定义版本 70216x（扩展版本 2/16/2005 rev. 24）或更高版本才能检测到该威胁。

* 目前还没有 LiveUpdate 定义，但将在近期发布。

防护

* 病毒定义（每周 LiveUpdate™） 2005 年 2 月 16 日

* 病毒定义（智能更新程序） 2005 年 2 月 16 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Low

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 有效负载： Downloads and executes a back door Trojan.

* 大规模发送电子邮件： Sends itself to all addresses it finds on the compromised computer.

* 危及安全设置： Allows unauthorized remote access.

分发

* 分发级别： High

* 电子邮件的主题： Varies

* 附件名称： Varies with .bat, .cmd, .com, .exe, .pif, .scr, or .zip file extension.

* 附件大小： Varies

运行

W32.Mydoom AX@mm 蠕虫在运行时会执行下列操作：

1. 创建下列文件：

* %Windir%\\java.exe

* %Windir%\\services.exe （这是被检测为 Backdoor.Zincite.A的特洛伊木马）

注意：%Windir% 是指向 Windows 安装文件夹的变量。默认情况下，是 C:\\Windows 或 C:\\Winnt。

2. 将值：

"JavaVM" = "%Winir%\\java.exe "

"Services" = "%Windir%\\services.exe"

添加到注册表键：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

这样，此蠕虫便可在 Windows 启动时运行。

3. 创建其他注册表键：

HKEY_CURRENT_USER\\Software\\Microsoft\\Daemon

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Daemon

4. 从活动的 Outlook Windows 通讯簿和具有下列扩展名的文件中收集电子邮件地址：

* .doc

* .htm

* .html

* .txt

5. 通过向下列搜索引擎发送 GET 请求来收集电子邮件地址：

* search.yahoo com

* search.lycos com

* www.altavista com

* www.google com

6. 不会将其自身发送到包含以下任意字符串的电子邮件地址：

* abuse

* accoun

* admin

* anyone

* arin.

* avp

* bar.

* bugs

* ca

* certific

* domain

* example

* feste

* foo

* foo com

* gmail

* gnu.

* gold-certs

* google

* help

* hotmail

* info

* listserv

* master

* me

* microsoft

* msdn.

* msn.

* no

* nobody

* noone

* not

* nothing

* ntivi

* page

* panda

* privacy

* rarsoft

* rating

* ripe.

* sample

* sarc.

* seclist

* secur

* sf net

* site

* soft

* someone

* sophos

* sourceforge

* spam

* spersk

* submit

* support

* syma

* the.bat

* trend

* update

* uslis

* winrar

* winzip

* yahoo

* you

* your

7. 将自身复制到包含以下字符串的文件夹：

* userprofile

* yahoo com

8. 使用自己的 SMTP 引擎将自身发送到找到的电子邮件地址。该电子邮件可能具有下列属性：

发件人：

（可能具有欺骗性）

“发件人”地址还可能使用各种域中的下列显示名称显示为无法发送而被退回：

* "Postmaster"

* "Mail Administrator"

* "Automatic Email Delivery Software"

* "Post Office"

* "The Post Office"

* "Bounced mail"

* "Returned mail"

* "MAILER-DAEMON"

* "Mail Delivery Subsystem"

主题：

* hello

* hi,

* error

* status

* test

* report

* delivery failed

* Message could not be delivered

* Mail System Error - Returned Mail

* Delivery reports about your e-mail

* Returned mail: see transcript for details

* Returned mail: Data format error delivered

邮件正文：

Dear User of [recipient domain]

We have received reports that your account was used to send a large amount of junk email messages during the week.

Probably, your computer had been compromised and now contains a hidden proxy server.

Please follow the instruction in the attached file in order to keep your computer safe.

Have a nice day,

[recipient domain] user support team.

附件：

使用收件人电子邮件地址或下列任意一个：

* ATTACHMENT

* DOCUMENT

* FILE

* INSTRUCTION

* LETTER

* MAIL

* MESSAGE

* README

* TEXT

* TRANSCRIPT

使用以下扩展名之一：

* .bat

* .cmd

* .com

* .exe

* .pif

* .scr

* .zip

注意：如果附件是 .zip 文件，则其中可能包含该蠕虫的副本。附件也可能经过了两次压缩。

9. 从 www.aoprojecteden org 下载一个文件并执行。该文件被检测为 Backdoor.Nemog.D。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

以下指导适用于最新和最近的所有 Symantec 防病毒产品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品）。

1. 禁用系统还原 (Windows Me/XP)。

2. 更新病毒定义。

3. 运行完整的系统扫描，并删除所有检测为 W32.Mydoom AX@mm 的文件。

4. 删除添加到注册表的值。

软件使用

有关每个步骤的详细信息，请参阅以下指导。

1. 禁用系统还原 (Windows Me/XP)

如果正在运行 Windows Me 或 Windows XP，建议您暂时关闭系统还原功能。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows Me/XP 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。

Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。

此外，病毒扫描也可能在 System Restore 文件夹中检测到威胁，即使您已清除该威胁。

有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一：

* 如何禁用或启用 Windows XP 系统还原

* 如何禁用或启用 Windows Me 系统还原

注意：当您全面完成杀毒步骤并确定威胁已清除后，请按照上述文档中的指导重新启用系统还原。

有关其他信息，以及禁用 Windows Me 系统还原的其他方法，请参阅 Microsoft 知识库文章：病毒防护工具无法清除 _Restore 文件夹中受感染的文件，文章 ID：CH263455。

2. 更新病毒定义

Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate，这是获得病毒定义最简单的方法：如果未遇重大病毒爆发情况，这些病毒定义会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可通过 LiveUpdate 获得用于此威胁的定义，请参阅病毒定义 (LiveUpdate)。

* 使用智能更新程序下载定义：智能更新程序病毒定义每天发布一次。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于此威胁的定义，请参阅病毒定义（智能更新程序）。

获得智能更新病毒定义的方法：有关详细指导，请参阅如何使用智能更新程序更新病毒定义文件。

3. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* 对于 Norton AntiVirus 单机版产品：请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 对于 Symantec AntiVirus 企业版产品：请参阅文档：如何确定 Symantec 企业版防病毒产品是否设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果检测到任何文件感染了 W32.Mydoom AX@mm，请单击“删除”。

注意：如果您的 Symantec 防病毒产品报告无法删除受感染文件，Windows 可能在使用该文件。要解决该问题，请在安全模式下运行扫描。有关指导，请参阅文档：如何以安全模式启动计算机。以安全模式重新启动后，再次运行扫描。

删除文件后，以正常模式重新启动计算机，然后继续步骤 4。

4. 从注册表删除值

重要： Symantec 强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的子键。有关说明，请参阅文档：「如何备份 Windows 注册表」。

1. 单击“开始”>“运行”。

2. 键入 regedit

然后单击“确定”。

3. 导航到下列子键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除值：

"JavaVM" = "%Winir%\\java.exe "

"Services" = "%Windir%\\services.exe"

5. 定位到下列键，然后将其删除：

HKEY_CURRENT_USER\\Software\\Microsoft\\Daemon

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Daemon

6. 退出注册表编辑器。

词条	W32.Mydoom.AX@mm
释义	W32.Mydoom.AX@mm 是一种群发邮件蠕虫，使用自己的 SMTP 引擎向受感染计算机上的活动 Microsoft Outlook 窗口中的地址发送电子邮件。它还会尝试通过文件共享网络进行传播。简介受感染的系统注意(防护广度损坏分发) 运行建议软件使用简介发现： 2005 年 2 月 16 日更新： 2007 年 2 月 13 日 12:33:37 PM 别名： Win32.Mydoom AU [Computer Asso, Email-Worm.Win32.Mydoom am [Ka, W32/Mydoom bb@MM [McAfee], W32/MyDoom-O [Sophos], WORM_MYDOOM BB [Trend Micro] 类型: Worm 感染长度： Varies 受感染的系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 注意 * 需要使用病毒定义版本 70216x（扩展版本 2/16/2005 rev. 24）或更高版本才能检测到该威胁。 * 目前还没有 LiveUpdate 定义，但将在近期发布。防护 * 病毒定义（每周 LiveUpdate™） 2005 年 2 月 16 日 * 病毒定义（智能更新程序） 2005 年 2 月 16 日威胁评估广度 * 广度级别： Low * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： Low * 威胁抑制： Easy * 清除： Moderate 损坏 * 损坏级别： Medium * 有效负载： Downloads and executes a back door Trojan. * 大规模发送电子邮件： Sends itself to all addresses it finds on the compromised computer. * 危及安全设置： Allows unauthorized remote access. 分发 * 分发级别： High * 电子邮件的主题： Varies * 附件名称： Varies with .bat, .cmd, .com, .exe, .pif, .scr, or .zip file extension. * 附件大小： Varies 运行 W32.Mydoom AX@mm 蠕虫在运行时会执行下列操作： 1. 创建下列文件： * %Windir%\\java.exe * %Windir%\\services.exe （这是被检测为 Backdoor.Zincite.A的特洛伊木马）注意：%Windir% 是指向 Windows 安装文件夹的变量。默认情况下，是 C:\\Windows 或 C:\\Winnt。 2. 将值： "JavaVM" = "%Winir%\\java.exe " "Services" = "%Windir%\\services.exe" 添加到注册表键： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 这样，此蠕虫便可在 Windows 启动时运行。 3. 创建其他注册表键： HKEY_CURRENT_USER\\Software\\Microsoft\\Daemon HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Daemon 4. 从活动的 Outlook Windows 通讯簿和具有下列扩展名的文件中收集电子邮件地址： * .doc * .htm * .html * .txt 5. 通过向下列搜索引擎发送 GET 请求来收集电子邮件地址： * search.yahoo com * search.lycos com * www.altavista com * www.google com 6. 不会将其自身发送到包含以下任意字符串的电子邮件地址： * abuse * accoun * admin * anyone * arin. * avp * avp * bar. * bugs * ca * certific * domain * example * feste * foo * foo com * gmail * gnu. * gold-certs * google * help * hotmail * info * listserv * master * me * microsoft * msdn. * msn. * no * nobody * noone * not * nothing * ntivi * page * panda * privacy * rarsoft * rating * ripe. * sample * sarc. * seclist * secur * sf net * site * soft * someone * sophos * sophos * sourceforge * spam * spersk * submit * support * syma * the.bat * trend * update * uslis * winrar * winzip * yahoo * you * your 7. 将自身复制到包含以下字符串的文件夹： * userprofile * yahoo com 8. 使用自己的 SMTP 引擎将自身发送到找到的电子邮件地址。该电子邮件可能具有下列属性：发件人：（可能具有欺骗性） “发件人”地址还可能使用各种域中的下列显示名称显示为无法发送而被退回： * "Postmaster" * "Mail Administrator" * "Automatic Email Delivery Software" * "Post Office" * "The Post Office" * "Bounced mail" * "Returned mail" * "MAILER-DAEMON" * "Mail Delivery Subsystem" 主题： * hello * hi, * error * status * test * report * delivery failed * Message could not be delivered * Mail System Error - Returned Mail * Delivery reports about your e-mail * Returned mail: see transcript for details * Returned mail: Data format error delivered 邮件正文： Dear User of [recipient domain] We have received reports that your account was used to send a large amount of junk email messages during the week. Probably, your computer had been compromised and now contains a hidden proxy server. Please follow the instruction in the attached file in order to keep your computer safe. Have a nice day, [recipient domain] user support team. 附件：使用收件人电子邮件地址或下列任意一个： * ATTACHMENT * DOCUMENT * FILE * INSTRUCTION * LETTER * MAIL * MESSAGE * README * TEXT * TRANSCRIPT 使用以下扩展名之一： * .bat * .cmd * .com * .exe * .pif * .scr * .zip 注意：如果附件是 .zip 文件，则其中可能包含该蠕虫的副本。附件也可能经过了两次压缩。 9. 从 www.aoprojecteden org 下载一个文件并执行。该文件被检测为 Backdoor.Nemog.D。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。以下指导适用于最新和最近的所有 Symantec 防病毒产品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品）。 1. 禁用系统还原 (Windows Me/XP)。 2. 更新病毒定义。 3. 运行完整的系统扫描，并删除所有检测为 W32.Mydoom AX@mm 的文件。 4. 删除添加到注册表的值。软件使用有关每个步骤的详细信息，请参阅以下指导。 1. 禁用系统还原 (Windows Me/XP) 如果正在运行 Windows Me 或 Windows XP，建议您暂时关闭系统还原功能。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows Me/XP 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。 Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。此外，病毒扫描也可能在 System Restore 文件夹中检测到威胁，即使您已清除该威胁。有关如何关闭系统还原功能的指导，请参阅 Windows 文档或下列文章之一： * 如何禁用或启用 Windows XP 系统还原 * 如何禁用或启用 Windows Me 系统还原注意：当您全面完成杀毒步骤并确定威胁已清除后，请按照上述文档中的指导重新启用系统还原。有关其他信息，以及禁用 Windows Me 系统还原的其他方法，请参阅 Microsoft 知识库文章：病毒防护工具无法清除 _Restore 文件夹中受感染的文件，文章 ID：CH263455。 2. 更新病毒定义 Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义： * 运行 LiveUpdate，这是获得病毒定义最简单的方法：如果未遇重大病毒爆发情况，这些病毒定义会每周在 LiveUpdate 服务器上发布一次（一般为星期三）。要确定是否可通过 LiveUpdate 获得用于此威胁的定义，请参阅病毒定义 (LiveUpdate)。 * 使用智能更新程序下载定义：智能更新程序病毒定义每天发布一次。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可通过智能更新程序获得用于此威胁的定义，请参阅病毒定义（智能更新程序）。获得智能更新病毒定义的方法：有关详细指导，请参阅如何使用智能更新程序更新病毒定义文件。 3. 扫描和删除受感染文件 1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。 * 对于 Norton AntiVirus 单机版产品：请参阅文档：如何配置 Norton AntiVirus 以扫描所有文件。 * 对于 Symantec AntiVirus 企业版产品：请参阅文档：如何确定 Symantec 企业版防病毒产品是否设置为扫描所有文件。 2. 运行完整的系统扫描。 3. 如果检测到任何文件感染了 W32.Mydoom AX@mm，请单击“删除”。注意：如果您的 Symantec 防病毒产品报告无法删除受感染文件，Windows 可能在使用该文件。要解决该问题，请在安全模式下运行扫描。有关指导，请参阅文档：如何以安全模式启动计算机。以安全模式重新启动后，再次运行扫描。删除文件后，以正常模式重新启动计算机，然后继续步骤 4。 4. 从注册表删除值重要： Symantec 强烈建议在进行任何更改前先备份注册表。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的子键。有关说明，请参阅文档：「如何备份 Windows 注册表」。 1. 单击“开始”>“运行”。 2. 键入 regedit 然后单击“确定”。 3. 导航到下列子键： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，删除值： "JavaVM" = "%Winir%\\java.exe " "Services" = "%Windir%\\services.exe" 5. 定位到下列键，然后将其删除： HKEY_CURRENT_USER\\Software\\Microsoft\\Daemon HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Daemon 6. 退出注册表编辑器。
随便看	天机：生存风水的奥妙天机-大西国揭秘-第壹部蓝色太阳天机盗神天机第四季：末日审判天机宫天机合订本天机诀天机秘录天机末日审判天机启微天机十年天机石府天机素书天机图天机文件备份同步专家V8.08 天机文件备份助手V0.81 天机象棋天机泄露：死亡浴场天机邮箱管家V2.2 天机语音邮件V4.4 天箕创天箕库拉乌天鸡车尊天绩信息技术(上海)有限公司天吉