|
|
今天打开126信箱,一看竟然有28封未读邮件,而我这个信箱一共也没有三个人知道,是不是病毒啊?
果然,都是以“test”为题目的电邮,赶快找病毒信息,抄录如下,大家小心,这个特别占用系统资源。
恶性蠕虫-"诺维格"(Novarg/Mydoom)分析报告
【看到带有22k大小附件的邮件,立刻删之。】
2004年01月27日14:15:07 金山毒霸安全资讯网
病毒名称: Worm.Novarg.a
中文名称: 诺维格
威胁级别: 4A
病毒别名:W32/Mydoom@MM [McAfee]
WORM_MIMAIL.R [Trend]
W32.Novarg.A@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003
金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a),该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件,利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击,造成系统和网络资源的严重浪费。
请立即升级金山毒霸病毒库到2004年1月27日的版本,即可完全处理该病毒。
技术特征:
1、创建如下文件:
%System%shimgapi.dll
%temp%Message, 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。
(注:%system%为系统目录,对于Win9x系统,目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;
3、添加如下注册表项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
使病毒可随机启动;
添加如下注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
用于存储病毒的活动信息。
4、www.sco.com实施拒绝服务(DoS)攻击, 创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;
5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;
7、邮件内容如下:
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附件名称:
document
readme
doc
text
file
data
test
message
body
可能的后缀:
pif
scr
exe
cmd
bat
zip
8、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pif\scr\bat),欺骗其它KaZaA用户下载,达到传播的目的:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
解决方案:
1gt;升级毒霸病毒库到最新, 进行全盘查杀即可.
2gt;手工清除:
lt;1gt;终止恶意程序:
打开windows任务管理器.
在windows95/98/ME系统中, 按CTRL+ALT+DELETE
在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
在运行程序列表中, 找到进程: taskmon.exe
选择恶意程序进程, 然后点击结束任务或结束进程按钮(取决于windows的版本).
为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
关掉任务管理器.
*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.
lt;2gt;删除注册表中的自启动项目:
从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
打开注册表编辑器: 点击开始gt;运行, 输入REGEDIT, 按Enter
在左边的面板中, 双击:
HKEY_CURRENT_USERgt;Softwaregt;Microsftgt;Windowsgt;CurrentVersiongt;Run
HKEY_LOCAL_MACHINEgt;Softwaregt;Microsoftgt;Windowsgt;CurrentVersiongt;Run
在右边的面板中, 找到并删除如下项目:
TaskMon = %System%\taskmon.exe
*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.
*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.
lt;3gt;删除注册表中的其他恶意项目
如下是删除注册表中其他恶意项目的说明.
仍旧在注册表编辑器中, 在菜单条中点击编辑gt;查找, 在文本领域中输入"ComDlg32", 点击查找下一个.
当像如下键值出现时, 删除键值和数据:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\ComDlg32\Version
关闭注册表编辑器.
专家提醒:
1、请及时升级您的毒霸到最新。因为病毒随时在产生,金山毒霸的病毒库也会随时升级中,请多关注金山毒霸安全咨询网www.duba.net)上的最新病毒公告,或者订阅金山毒霸的“病毒短信”,为您提供最新最快的病毒信息和毒霸的升级信息;
duba.net 现已推出“在线病毒日历”,及时为您播报近期危险病毒,敬请关注;
2、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;
3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者会利用人们好奇的心理来骗取自己激活的机会,如“911”蠕虫病毒,就是利用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权;
4、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒。 |
|
|手机版|希望之光工作论坛
( 京ICP备18037495号 )
发表于 2004-2-4 04:18
楼主