计算机病毒中心发布“Mydoom变种”技术报告 -pc6资讯

您的位置：首页 → 网络冲浪 → 安全资讯 → 计算机病毒中心发布“Mydoom变种”技术报告

计算机病毒中心发布“Mydoom变种”技术报告 时间：2004/10/8 15:02:00来源：本站整理作者：蓝点我要评论(0): > 　　新华网天津8月8日电（记者张建新）国家计算机病毒应急处理中心8日发布最近出现并传播的计算机病毒"Mydoom变种"（Worm_Mydoom.N）的技术报告。

　　病毒类型：蠕虫

　　感染系统：Windows 95/98/Me/NT/2000/XP/2003

　　病毒特性：病毒以染毒邮件的附件形式到达，

邮件的标题、内容、附件的名称都是可变的，长度约为35k。提醒用户遇到此类邮件不要打开，应立即删除。病毒运行后在系统文件夹下生成病毒文件，修改注册表，以达到自启动的目的。另外，病毒还具有后门功能。

　　1、生成病毒文件

　　该病毒运行后在%Windir%文件夹中生成文件java.exe和services.exe。（其中，%Windir% 通常为C:\windows或C:\WINNT）

　　2、修改注册表

　　病毒修改注册表，以达到随系统启动而自动运行的目的，在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建：JavaVM ="%Windir %\java.exe"Services ="%Windir %\services.exe"病毒还在注册表中创建以下键值，作为病毒感染的标记HKCU\SOFTWARE\Microsoft\Daemon HKLM\SOFTWARE\Microsoft\Daemon

　　3、通过电子邮件进行传播

　　病毒使用自身的SMTP引擎向外发送带毒电子邮件，进行传播。病毒会从扩展名为.adb、.asp、.dbx、.ht*、.php、.pl、.sht、.tbb、.tx*和.wab的文件中搜集邮件地址，并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。

　　病毒发送的邮件格式如下：主题：（为下列之一）hello hi error status test report delivery failed Message could not be delivered Mail System Error -Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returnedmail: Data format error正文：内容为可变的附件的名称：（为下列之一）readme instruction transcript mail letter file text attachment document message附件可能具有双扩展名：第一个扩展名可能为：cmd、bat、com、exe、pif、scr、zip第二个扩展名可能为：doc、txt、htm、html

　　4、后门功能

　　病毒生成的文件会开启TCP1034端口，并通过该端口监听来自远程用户的连接。

　　清除该病毒的建议：

　　1、终止病毒进程

　　在Windows9x/ME系统，同时按下CTRL+ALT+DELETE。

　　在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC。

　　选择"任务管理器--〉进程"，选中正在运行的病毒进程，并终止其运行。

　　2、注册表的恢复

　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的JavaVM ="%Windir %\java.exe"和Services ="%Windir %\services.exe"

　　3、删除病毒文件

　　点击"开始-->查找"，找到病毒生成的文件java.exe和services.exe，并将其删除。

　　4、运行杀毒软件对系统进行全面的病毒查杀。

文章评论

查看所有0条评论>>

热门文章 设置高强度密码技巧之