诺维格病毒来势汹汹，大家小心

hydlily

今天打开126信箱，一看竟然有28封未读邮件，而我这个信箱一共也没有三个人知道，是不是病毒啊？
果然，都是以“test”为题目的电邮，赶快找病毒信息，抄录如下，大家小心，这个特别占用系统资源。


恶性蠕虫-"诺维格"(Novarg/Mydoom)分析报告

【看到带有22k大小附件的邮件，立刻删之。】

2004年01月27日14:15:07　金山毒霸安全资讯网　
病毒名称: Worm.Novarg.a
中文名称: 诺维格
威胁级别: 4A
病毒别名:W32/Mydoom@MM [McAfee]
　　　　　WORM_MIMAIL.R [Trend]
　　　　　W32.Novarg.A@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003

　　金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a)，该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击，造成系统和网络资源的严重浪费。
请立即升级金山毒霸病毒库到2004年1月27日的版本，即可完全处理该病毒。
技术特征：

1、创建如下文件：
%System%shimgapi.dll
%temp%Message， 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在，则用病毒文件覆盖。
（注：%system%为系统目录，对于Win9x系统，目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录，在“运行”的窗口输入%temp%及可调出临时目录的所在位置。）

2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器，并开启3127到3198范围内的TCP端口进行监听；

3、添加如下注册表项：
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
使病毒可随机启动；
添加如下注册表项：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
用于存储病毒的活动信息。

4、www.sco.com实施拒绝服务（DoS)攻击, 创建64个线程发送GET请求，这个DoS攻击将从2004年2月1延续到2004年2月12日；

5、在如下后缀的问中搜索电子邮件地址，但忽略以.edu结尾的邮件地址：
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

6、使用病毒自身的SMTP引擎发送邮件，他选择状态良好的服务器发送邮件，如果失败，则使用本地的邮件服务器发送；

7、邮件内容如下：
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

附件名称:
document
readme
doc
text
file
data
test
message
body

可能的后缀:
pif
scr
exe
cmd
bat
zip

8、拷贝自己到KaZaA的共享目录下，伪装成如下文件，后缀可能为(pif\scr\bat)，欺骗其它KaZaA用户下载，达到传播的目的：
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

解决方案:
1gt;升级毒霸病毒库到最新, 进行全盘查杀即可.
2gt;手工清除:
　lt;1gt;终止恶意程序:
　打开windows任务管理器.
　在windows95/98/ME系统中, 按CTRL+ALT+DELETE
　在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡.
　在运行程序列表中, 找到进程: taskmon.exe
　选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本).
　为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开.
　关掉任务管理器.
　*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明.

　lt;2gt;删除注册表中的自启动项目:
　从注册表中删除自动运行项目来阻止恶意程序在启动时执行.
　打开注册表编辑器: 点击开始gt;运行, 输入REGEDIT, 按Enter
　在左边的面板中, 双击:
　HKEY_CURRENT_USERgt;Softwaregt;Microsftgt;Windowsgt;CurrentVersiongt;Run
　HKEY_LOCAL_MACHINEgt;Softwaregt;Microsoftgt;Windowsgt;CurrentVersiongt;Run
　在右边的面板中, 找到并删除如下项目:
　TaskMon = %System%\taskmon.exe
　*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\Windows\System, 在WindowsNT和2000系统中是:WINNT\System32, 在Windows XP系统中是C:\Windows\System32.
　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统.

　lt;3gt;删除注册表中的其他恶意项目
　如下是删除注册表中其他恶意项目的说明.
　仍旧在注册表编辑器中, 在菜单条中点击编辑gt;查找, 在文本领域中输入"ComDlg32", 点击查找下一个.
　当像如下键值出现时, 删除键值和数据:
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
　\ComDlg32\Version
　关闭注册表编辑器.


专家提醒：

　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网www.duba.net）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　duba.net 现已推出“在线病毒日历”，及时为您播报近期危险病毒，敬请关注；

　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；

　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；

　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

hydlily

技巧：三招手工必杀小邮差变种\"诺维格\"病毒

2004年01月30日17:29:44　金山毒霸安全资讯网　
　 　第一步：终止恶意程序

　打开windows任务管理器，在windows95/98/ME系统中, 按CTRL+ALT+DELETE；
　在Windows NT/2000/XP 系统中, 按CTRL+SHIFT+ESC, 然后点击进程选项卡；
　在运行程序列表中, 找到进程: taskmon.exe ；
　选择恶意程序进程, 然后点击结束任务或结束进程按钮（取决于windows的版本）；
　为了检查恶意程序是否被终止, 关掉任务管理器, 然后再打开；
　关掉任务管理器；
　*注意: 在运行windows95/98/ME的系统中, 任务管理器可能不会显示某一进程. 可以使用其他进程查看器来终止恶意程序进程. 否则, 继续处理下面的步骤, 注意附加说明。

　第二步：删除注册表中的自启动项目

　从注册表中删除自动运行项目来阻止恶意程序在启动时执行；
　打开注册表编辑器: 点击开始gt;运行, 输入REGEDIT, 按Enter；
　在左边的面板中, 双击：
　HKEY_CURRENT_USERgt;Softwaregt;Microsftgt;Windowsgt;CurrentVersiongt;Run
　HKEY_LOCAL_MACHINEgt;Softwaregt;Microsoftgt;Windowsgt;CurrentVersiongt;Run
　在右边的面板中, 找到并删除如下项目：
　TaskMon = %System%\\taskmon.exe
　*注意: %System%是Windows的系统文件夹, 在Windows 95, 98, 和ME系统中通常是 C:\\Windows\\System, 在WindowsNT和2000系统中是:WINNT\\System32, 在Windows XP系统中是C:\\Windows\\System32.
　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程, 请重启系统。

　第三步：删除注册表中的其他恶意项目

　如下是删除注册表中其他恶意项目的说明。
　仍旧在注册表编辑器中, 在菜单条中点击编辑gt;查找, 在文本领域中输入\"ComDlg32\", 点击查找下一个；
　当像如下键值出现时, 删除键值和数据：
　HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer
　\\ComDlg32\\Version
　HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer
　\\ComDlg32\\Version
　关闭注册表编辑器.

　　通过以上三招，烦人的“诺维格”病毒就可以被清除干净了。不过以上方法主要针对电脑专业人士应用比较方便，普通计算机用户请尽量利用杀毒软件查杀此病毒，请及时升级您的杀毒软件到最新。如没有杀毒软件，请到http://www.duba.net/download/3/105.shtml下载“诺维格”专杀工具，以防止该病毒的肆虐。

中雨

转贴
如何识别计算机是否中了小邮差变种\"诺维格\"病毒

小邮差变种\"诺维格\"已极快的速度袭卷全球，利用\"系统退信\"的方法使许多用户中招。该方法是指：病毒会用一个搜索到的邮件地址作为发件人给一个并不存在的收信人发信，而收信人的邮件服务器找不到收信人的地址就会将该邮件退给发件人，发件人的邮件地址正好是病毒真正要传播的对象。用户在收到这样的退信时，可能会打开这封退信而感染该病毒。病毒使用这样的方式更好的隐藏了自己，也达到了更广的传播目的。所以，当您收到诸如以下开式的退信邮件时，千万不要打开附件。
可用以下方法检测您的计算机是否中了该病毒：
1.如果您觉得系统和网络速度突然变慢，请提高警惕，继续用以下方法检测计算机；
2、开启网络防火墙的程序中，有一个名为\"taskmon.exe\"的程序会访问网络，您的计算机有80%的可能性中该病毒了!
3.打开工作管理程序，发现taskmon.exe 执行中
4.转到系统目录(c:\\windows\\system32)，看能否找到\"shimgapi.dll、taskmon.exe\"档案
如果都找到并确\"shimgapi.dll\"大小为4K,\"taskmon.exe\"大小为22K，表明您已经感染该病毒
处理方法：
下载：\"诺维格\"专杀工具,来清除该病毒
<!-- m --><a class=\"postlink\" href=\"http://www.duba.net/download/3/105.shtml\">http://www.duba.net/download/3/105.shtml</a><!-- m -->
<!-- m --><a class=\"postlink\" href=\"http://download01.duba.net/download/othertools//Duba_Novarg.EXE\">http://download01.duba.net/download/oth ... Novarg.EXE</a><!-- m -->
<!-- m --><a class=\"postlink\" href=\"http://download01.duba.net/download/othertools//Duba_Novarg.EXE\">http://download01.duba.net/download/oth ... Novarg.EXE</a><!-- m -->
<!-- m --><a class=\"postlink\" href=\"http://kingsoft.hm99.com/iduba/download/tools/Duba_Novarg.EXE\">http://kingsoft.hm99.com/iduba/download ... Novarg.EXE</a><!-- m -->
工具介绍：
　　该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件，利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个执行绪进行DoS攻击，造成系统和网络资源的严重浪费。威胁级别: 4A；受影响系统: Win9x/NT/2K/XP/2003

hydlily

     提起来，给更多同学看见。

浮云浪子

谢谢啦，好同学。
当下真是谈病毒色变哪，又是SARS又是禽流感的。
BTW，不打开邮件直接删除就不会感染了吧？

中雨

不打开邮件中的附件就没事。

浮云浪子

每次打开FOXMAIL收取邮件时总收到SUBJECT 为TEST 带附件的陌生邮件，诺顿查杀了病毒，可是现在FOXMAIL关不掉了，关闭时总显示：file open error: c:\\program files\\foxmail\\mail\\ye\\trash.BOX   这是怎么回事啊？
从任务管理器中找到 taskmgr.exe这是不是那个恶意程序啊 ？

SOS   THANKS

中雨

每次打开FOXMAIL收取邮件时总收到SUBJECT 为TEST 带附件的陌生邮件，诺顿查杀了病毒，可是现在FOXMAIL关不掉了，关闭时总显示：file open error: c:\\program files\\foxmail\\mail\\ye\\trash.BOX   这是怎么回事啊？
从任务管理器中找到 taskmgr.exe这是不是那个恶意程序啊 ？

SOS   THANKS

taskmgr.exe不是恶意程序，而是你打开的那个任务管理器本身。
你收到的那些带附件的邮件可能就是这种病毒程序。FOXMAIL出现的错误可能是
邮件系统文件遭到破坏的原因，在c:\\program files\\foxmail\\mail\\ye文件夹下
找一下是否有trash.BOX 文件存在，如果没有，则可新建一个同名文件（先建立一个文本文件，再把扩展名改为BOX），然后再在FOXMAIL的菜单中选择邮箱-属性，进行修复，需要注意的是这样里边原来接收的邮件将不再存在（用FOXMAIL的时候最好把设置接收邮件的那个在邮件服务器上备份选上，以免邮件丢失）。