I-Worm/Mydoom.g

病毒长度：约20 KB

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Mydoom.g在TCP 80和1080端口开后门群发邮件，能够下载并执行任意文件，而且对一些特定的网站进行DoS（拒绝服务）攻击。

蠕虫传播过程及特征：

1.可能在临时文件夹（Temp）下生成一个文件，它包含一些随机产生的数据，默认以记事本程序打开；在系统文件夹下生成<随机值>.dll和<随机值>.exe（或scr）。

2.用蠕虫生成的.dll组件作为代理服务器在TCP 80和1080端口打开后门并进行监听，可以下载和执行任意文件。

3.终止大量的反病毒软件和一些蠕虫进程。

4.遍历从C到Z的所有驱动器，在随机选择的文件夹下创建<随机值>.exe（蠕虫副本）和<随机值>.zip（档案文件）

5.修改注册表：

HKEY_CURRENT_USER\\Software\\Microsft\\Windows\\CurrentVersion\\Run下添加"<随机小写字母>" = "%System%\\<蠕虫文件名>"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下添加"<随机小写字母>" = "%System%\\<蠕虫文件名>"

HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\InprocServer32下添加"<缺省直>" = "%System%\\<蠕虫文件名>.dll"

HKEY_CLASSES_ROOT\\CLSID\\{35CEC8A3-2BE6-11D2-8773-92E220524153}\\InprocServer32下添加"<缺省直>" = "%System%\\<蠕虫文件名>.dll"

6.搜索C:\\Feedlist文件,如果它不存在蠕虫就对一些特定的网站发动DoS攻击。

7.遍历从C到Z驱动器下有下列扩展名的文件：

avi ，doc ，jpg ，mp3 ，mp4 ，wav ，wma ，xls

蠕虫进行自我复制时，使用的文件名是：用上述找到的文件名并在其后追加.exe和.scr扩展名。

8.遍历从C到Z驱动器下为下列扩展名的文件，搜索包含"Inbox"字符的文件：

adb ，asp ，dbx ，eml ，htm ，mbx ，mht ，mmf

，msg ，nch ，php ，rtf ，sht ，tbb ，txt

，uin ，wab

如果是硬盘驱动器或RAM驱动器，蠕虫同时会搜索有效的邮件地址。

9.在IE的临时文件夹和Windows地址簿里搜索有效邮件地址，包含下列字符串的邮件地址视为无效：

berkeley ，bsd ，example.com ，fsf. ，gnu. ，

google. ，ibm.com ，isc.org ，isi.edu ，kernel. ，

mit.edu ，moziplla. ，packetstorm ，rfc-edit ，rutgers.edu ，secur ，sendmail. ，sf.net ，slashdot. ，sourceforge ，stanford.edu ，uci.edu

，ucsd.edu ，unix ，urlon ，ymante

10.用自带的引擎发送自身到上述地址，邮件有如下特征：

发件人：随机特征的名字加上下列域名：

aol.com ，msn.com ，yahoo.com ，hotmail.com，<随机值>.edu

主题：不一定

附件：扩展名为exe ，scr ，pif ，cmd ，bat ，

com ，zip的文件，用Windows Media程序图标显示。