请输入您要查询的百科知识:

 

词条 Worm.Novarg.e
释义

病毒别名:W32/Mydoom.f@MM [McAfee] W32.Novarg.f@mm [Symantec] I-Worm.Mydoom.e [AVP]

处理时间:2004-02-24

威胁级别:★★★

中文名称:"诺维格"变种

病毒类型:蠕虫

影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒行为:

诺维格

编写工具:汇编编写,UPX压缩

传染条件:通过邮件传播

发作条件:在每个月的17至22日对www.microsoft.com 和 www.riaa.com网站,发起DoS攻击。

系统修改:

A、拷贝自己到系统目录,使用有4到13个字母组成的随机名字,后缀名是exe;

B、搜索所有的盘符(从A到Z),查找含有“starup、Start、shar”字符串的文件夹,并释放病毒复本,病毒文件名随机生成;

C、在系统目录里释放DLL文件,该DLL文件用于在TCP 1080端口开启后门,等待黑客连接上传恶程序。

D、结束含有以下字符串的进程,这些进程多为反病毒软件的主程序所使用,因此该病毒会中止大量反病毒软件,来提高自己的生存期:

reged

taskmo

taskmg

avp.

avp32

norton

navapw

navw3

intrena

mcafe

isc.o

E、在根目录或WINDOWS安装目录释放一个34K的.ZIP压缩包文件;

F、在注册表的主键:

HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosftWindowsCurrentVersionRun

中添加如下键值,使病毒可随机自启动:

<4到13个随机字符串> = %System%<4到13个随机字符串>.exe

创建如下键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell

G、驱动器为“硬盘、网络共享、RAM盘”时,病毒会随机删除以下文件,造成数据丢失

.mdb

.doc

.xls

.sav

.jpg

.avi

.bmp

发作现象:

A、病毒伪装成文本文件的图标,如下所示:

Worm.Novarg.e.1.gif

B、病毒在激活时可能显示如下对话框

Worm.Novarg.e.2.gif

C、在%temp%文件夹下释放一个随机的文本文件,并用“记事本”打开,显示如下

Worm.Novarg.e.3.gif

这可以做为中该病毒的特征;

特别说明:

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 0:08:32