词条 | Worm.Novarg.e |
释义 | 病毒别名:W32/Mydoom.f@MM [McAfee] W32.Novarg.f@mm [Symantec] I-Worm.Mydoom.e [AVP] 处理时间:2004-02-24 威胁级别:★★★ 中文名称:"诺维格"变种 病毒类型:蠕虫 影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003 病毒行为: 诺维格 编写工具:汇编编写,UPX压缩 传染条件:通过邮件传播 发作条件:在每个月的17至22日对www.microsoft.com 和 www.riaa.com网站,发起DoS攻击。 系统修改: A、拷贝自己到系统目录,使用有4到13个字母组成的随机名字,后缀名是exe; B、搜索所有的盘符(从A到Z),查找含有“starup、Start、shar”字符串的文件夹,并释放病毒复本,病毒文件名随机生成; C、在系统目录里释放DLL文件,该DLL文件用于在TCP 1080端口开启后门,等待黑客连接上传恶程序。 D、结束含有以下字符串的进程,这些进程多为反病毒软件的主程序所使用,因此该病毒会中止大量反病毒软件,来提高自己的生存期: reged taskmo taskmg avp. avp32 norton navapw navw3 intrena mcafe isc.o E、在根目录或WINDOWS安装目录释放一个34K的.ZIP压缩包文件; F、在注册表的主键: HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosftWindowsCurrentVersionRun 中添加如下键值,使病毒可随机自启动: <4到13个随机字符串> = %System%<4到13个随机字符串>.exe 创建如下键值: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell G、驱动器为“硬盘、网络共享、RAM盘”时,病毒会随机删除以下文件,造成数据丢失 .mdb .doc .xls .sav .jpg .avi .bmp 发作现象: A、病毒伪装成文本文件的图标,如下所示: Worm.Novarg.e.1.gif B、病毒在激活时可能显示如下对话框 Worm.Novarg.e.2.gif C、在%temp%文件夹下释放一个随机的文本文件,并用“记事本”打开,显示如下 Worm.Novarg.e.3.gif 这可以做为中该病毒的特征; 特别说明: |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。