词条 | Worm.Mydoom.ah |
释义 | 基本信息威胁级别病毒类型蠕虫 影响系统Win9x / WinNT 病毒行为该蠕虫通过电子邮件进行传播,用户收到病毒邮件中,会有一个超链接,并有诱使用户打开超链接的文字。链接的网页为一个含有IFRAME标签缓冲区漏洞的网页,用户点击该后,存在该漏洞的浏览器会自动从网上下载病毒体,这时用户的IE浏览器会出现假死现象。若下载成功,则在机器上运行,从而使机器中毒。 1、将自身复制到如下目录中: %System%\\%随机字母%32.exe. 2、在注册表: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 添加如下键值: "Reactor5" = "%System%\\%随机字母%32.exe" 使每次启动时,病毒能自动运行。 3、尝试删除注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 以下键名: center reactor Rhino Reactor3 Reactor4 4、尝试注入其他进程,如果注入成功,则病毒进程在任务管理器中消失。 5、尝试在以下后缀名的文件中查找电子邮件地址 .adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab 6、过滤含有以下字符的电子邮件: accoun acketst admin anyone arin. be_loyal: berkeley borlan certific contact example feste gold-certs hotmail ibm.com icrosof icrosoft inpris isc.o isi.e kernel linux listserv mit.e mozilla mydomai nobody nodomai noone nothing ntivi panda postmaster privacy rating rfc-ed ripe. ruslis samples secur sendmail service somebody someone sopho submit support tanford.e the.bat usenet utgers.ed webmaster 7、向找到的电子邮件发送邮件: 主题为: Hi! hey! 空白 Confirmation 8、邮件内容可能为以下之一: 1)Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos! 2)Hi! I am looking for new friends. My name is Jane, I am from Miami, FL. See my homepage with my weblog and last webcam photos! See you! 3)Congratulations! PayPal has successfully charged 5 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days. To see details please click this link . DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received. Thank you for using PayPal. 9、邮件内容中有一个超链接(http://已感染机器地址:1639/webcam.htm)。如果用户点击该链接,会打开一个带有最近发现的IE浏览器IFRAME标签溢出漏洞的网页,漏洞网页会下载http://已感染机器地址:1639/reactor (即:Worm.Mydoom.ah)到用户机器上,并运行 10、尝试利用TCP6667端口连接以下IRC服务器: b*****y.ny.us.dal.net b*****s.be.eu.undernet.org c*****.eu.undernet.org c*****.net c*****al.net d*****nl.eu.undernet.org f*****s.be.eu.undernet.org g*****.eu.undernet.org l*****uk.eu.undernet.org l*****eles.ca.us.undernet.org l*****e.eu.undernet.org o*****.dal.net q*****us.dal.net v*****er.dal.net v*****dal.net w*****ton.dc.us.undernet.org 11、开启TCP1639端口作为后门. 12、2004年12月15日02时28分,病毒自动停止运行。 |
随便看 |