病毒名称：Worm_Mydoom.M

其它命名：Worm.Novarg.an（瑞星）

WORM_MYDOOM.BB（趋势）

W32/Mydoom.bb@MM （McAfee）

W32.Mydoom.AX@mm（Symantec）

Worm.Win32.Mydoom.am （Kaspersky）

病毒类型：蠕虫

病毒大小：25,771字节

受影响系统： WinME/Win9x/WinNT/Win2000/WinXP

病毒特性：

该蠕虫主要通过邮件进行传播。一旦感染机器，它会从受感染系统中的Windows地址簿、临时目录和某些固定驱动器中搜集目标邮件地址，并且该蠕虫还会在发送邮件的时候使用社会工程学技术，使得发出的邮件使用虚假的发件人，并且伪装成一封发送失败的通告信，这样来诱骗计算机用户。

1、生成文件

蠕虫运行后,会在%System%目录下生成自身拷贝JAVA.EXE，并且还会在Windows临时目录中创建日志文件 Zincite.log，该文件包含病毒使用的一些数据。它同时创建一个互斥体，互斥体的名称来自它被执行系统的主机名。

2、修改注册表项

病毒添加注册表项，使得自身能够在系统启动时自动运行，在

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下添加

JavaVM="%Windows%\\java.exe"

Services="%Windows%\\services.exe"

( %Windows%代表Windows 文件夹，通常是C:\\Windows 或 C:\\WINNT.)

还会创建如下注册表键作为病毒感染的标记：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Daemon

3、通过邮件传播

该病毒通过SMTP并利用邮件进行传播。首先，病毒会检查网络连接和本地DNS服务器的连接。随后，病毒还会搜索与目标地址域名相符的邮件交换器，一旦发现，病毒就会使用这些搜索到的邮件交换器作为自己的SMTP服务器，通过邮件向外传播。

4、后门功能

该病毒在%Windows%文件夹中产生一个名为SERVICES.EXE的后门组件，它可以通过打开TCP端口1034来等待自外部的连接请求。这样一来，一些恶意破坏程序以及黑客木马程序就有可能借机通过该端口进入到受感染的计算机内，造成计算机瘫痪，无法使用等严重后果。