I-Worm/MyDoom.q

病毒类型：网络蠕虫

病毒大小：27136字节

传播方式：网络

危害等级：★★★

“挪威客”最新变种I-Worm/MyDoom.q在被感染计算机上搜索电子邮件地址，并通过其自带的SMTP引擎发送大量带毒邮件。

具体分析报告如下：

1. 病毒运行后，建立如下文件：

%Temp%\\Message，垃圾信息文件

%System%\\winpsd.exe，病毒程序

%Windows%\\rasor38a.dll，病毒程序

并调用记事本程序打开%Temp%\\Message文件。

2. 添加注册表启动项：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

"winpsd"="%System%winpsd.exe"

这样，病毒程序在Windows启动时即可运行。

3. 从下列网站：

www.richcolour.com

zenandjuice.com

下载病毒文件：

ispy.1.jpg

coco3.jpg

temp587.gif

temp728.gif

在用户本地磁盘上保存为winvpn32.exe，并自动运行下载的病毒程序。

如果下载成功，则建立下面的注册表项：

[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer]

"InstaledFlashhMx"="1"

I-Worm/MyDoom.q下载并执行的病毒程序为Backdoor/Surila.g。

4. 病毒从具有下列扩展名的文件中搜索电子邮件地址：

.htm .sht .php .asp .dbx .tbb .adb .wab .pl

5. 从Outlook地址簿中获取邮件地址。

6. 病毒利用其自带的SMTP引擎向搜索到的邮件地址发送病毒邮件，并会自动回避一些反病毒厂商和信息安全机构的地址。邮件特征如下：

发信人：<伪造>

主题：Photos

正文：LOL!;))))

附件：photos_arc.exe，就是病毒体。