请输入您要查询的百科知识:

 

词条 Worm.Novarg.b
释义

一种蠕虫病毒,中文名为“诺维格”,可以进行系统修改,如修改系统hosts文件,屏蔽用户对网站的访问,从2004年2月1延续到2004年2月12日期间开启多个线程对网站进行攻击,使用病毒自身的SMTP引擎发送邮件,附件可能有双缀。

病毒别名:W32.Mydoom.B@mm[Symantec]

处理时间:

威胁级别:★

中文名称:诺维格

病毒类型:蠕虫

影响系统:Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

传染条件:

a.利用电子邮件传播;

b.利用Kazaa共享传播;

发作条件:

2004年2月1延续到2004年2月12日

系统修改:

a.创建如下文件:

%System%Ctfmon.dll

%Temp%Message:这个文件由随机字母通组成。

%System%Explorer.exe

b.复制自身到Kazaa共享目录中,文件名如下:

icq2004-final

Xsharez_scanner

BlackIce_Firewall_Enterpriseactivation_crack

ZapSetup_40_148

MS04-01_hotfix

Winamp5

AttackXP-1.26

NessusScan_pro

扩展名可能如下:

.pif

.scr

.bat

.exe

c.添加如下注册表项:

HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun

"Explorer" = "%System%Explorer.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"Explorer" = "%System%Explorer.exe"

HKEY_CLASSES_ROOTCLSIDInProcServer32

%默认% = "%System%ctfmon.dll"

d.修改系统hosts文件,屏蔽用户对以下网站的访问:

ad.doubleclick.net

ad.fastclick.net

ads.fastclick.net

ar.atwola.com

atdmt.com

avp.ch

avp.com

avp.ru

awaps.net

banner.fastclick.net

banners.fastclick.net

ca.com

click.atdmt.com

clicks.atdmt.com

dispatch.mcafee.com

download.mcafee.com

download.microsoft.com

downloads.microsoft.com

engine.awaps.net

fastclick.net

f-secure.com

ftp.f-secure.com

ftp.sophos.com

go.microsoft.com

liveupdate.symantec.com

mast.mcafee.com

mcafee.com

media.fastclick.net

msdn.microsoft.com

my-etrust.com

nai.com

networkassociates.com

office.microsoft.com

phx.corporate-ir.net

secure.nai.com

securityresponse.symantec.com

service1.symantec.com

sophos.com

spd.atdmt.com

support.microsoft.com

symantec.com

update.symantec.com

updates.symantec.com

us.mcafee.com

vil.nai.com

viruslist.ru

windowsupdate.microsoft.com

www.avp.ch

www.avp.com

www.avp.ru

www.awaps.net

www.ca.com

www.fastclick.net

www.f-secure.com

www.kaspersky.ru

www.mcafee.com

www.microsoft.com

www.my-etrust.com

www.nai.com

www.networkassociates.com

www.sophos.com

www.symantec.com

www.trendmicro.com

www.viruslist.ru

www3.ca.com

发作现象:

a.从2004年2月1号开始开启多个线程可能对www.sco.com发动DOS攻击,从2月3日起可能对www.microsoft.com发起DOS攻击,直到2004年3月1日结束.

特别说明:

a、%System%Ctfmon.dll的功能是一个代理服务器,开启后门,可下载执行任意程序.

b、病毒在如下后缀的文件中搜索电子邮件地址:

.htm

.sht

.php

.asp

.dbx

.tbb

.adb

.pl

.wab

.txt

c、使用病毒自身的SMTP引擎发送邮件,他优先选择下面的域名服务器发送邮件,如果失败,则使用本地的邮件服务器发送。

gate.

ns.

relay.

mail1.

mxs.

mx1.

smtp.

mail.

mx.

d、邮件内容如下:

From: 可能是一个欺骗性的地址

主题:

Returned mail

Delivery Error

Status

Server Report

Mail Transaction Failed

Mail Delivery System

hello

hi

正文:

sendmail daemon reported:

Error #804 occured during SMTP session. Partial message has been received.

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message contains MIME-encoded graphics and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件可能有双缀,如果有双后缀,则第一个可能的后缀如下:

.htm

.txt

.doc

第二个后缀可能如下:

.pif

.scr

.exe

.cmd

.bat

.zip

如果附件是个exe或scr文件的扩展名,则显示的是一个文本文件的图标

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 14:04:41