词条 | Worm.Novarg.b |
释义 | 一种蠕虫病毒,中文名为“诺维格”,可以进行系统修改,如修改系统hosts文件,屏蔽用户对网站的访问,从2004年2月1延续到2004年2月12日期间开启多个线程对网站进行攻击,使用病毒自身的SMTP引擎发送邮件,附件可能有双缀。 病毒别名:W32.Mydoom.B@mm[Symantec] 处理时间: 威胁级别:★ 中文名称:诺维格 病毒类型:蠕虫 影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, 病毒行为: 编写工具: 传染条件: a.利用电子邮件传播; b.利用Kazaa共享传播; 发作条件: 2004年2月1延续到2004年2月12日 系统修改: a.创建如下文件: %System%Ctfmon.dll %Temp%Message:这个文件由随机字母通组成。 %System%Explorer.exe b.复制自身到Kazaa共享目录中,文件名如下: icq2004-final Xsharez_scanner BlackIce_Firewall_Enterpriseactivation_crack ZapSetup_40_148 MS04-01_hotfix Winamp5 AttackXP-1.26 NessusScan_pro 扩展名可能如下: .pif .scr .bat .exe c.添加如下注册表项: HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun "Explorer" = "%System%Explorer.exe" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer" = "%System%Explorer.exe" HKEY_CLASSES_ROOTCLSIDInProcServer32 %默认% = "%System%ctfmon.dll" d.修改系统hosts文件,屏蔽用户对以下网站的访问: ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.microsoft.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru www3.ca.com 发作现象: a.从2004年2月1号开始开启多个线程可能对www.sco.com发动DOS攻击,从2月3日起可能对www.microsoft.com发起DOS攻击,直到2004年3月1日结束. 特别说明: a、%System%Ctfmon.dll的功能是一个代理服务器,开启后门,可下载执行任意程序. b、病毒在如下后缀的文件中搜索电子邮件地址: .htm .sht .php .asp .dbx .tbb .adb .pl .wab .txt c、使用病毒自身的SMTP引擎发送邮件,他优先选择下面的域名服务器发送邮件,如果失败,则使用本地的邮件服务器发送。 gate. ns. relay. mail1. mxs. mx1. smtp. mail. mx. d、邮件内容如下: From: 可能是一个欺骗性的地址 主题: Returned mail Delivery Error Status Server Report Mail Transaction Failed Mail Delivery System hello hi 正文: sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received. Mail transaction failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. 附件可能有双缀,如果有双后缀,则第一个可能的后缀如下: .htm .txt .doc 第二个后缀可能如下: .pif .scr .exe .cmd .bat .zip 如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。