Worm.Mydoom.ag


  病毒别名:
  处理时间:
  威胁级别:★★★
  中文名称:
  病毒类型:蠕虫
  影响系统:Win9x / WinNT
  病毒行为:
  该蠕虫通过电子邮件进行传播,用户收到病毒邮件中,会有一个超链接,并有诱使用户打开超链接的文字。链接的网页为一个含有IFRAME标签缓冲区漏洞的网页,用户点击该后,存在该漏洞的浏览器会自动从网上下载病毒体,这时用户的IE浏览器会出现假死现象。若下载成功,则在机器上运行,从而使机器中毒。
  1、将自身复制到如下目录中:
  %System%\%随机字母%32.exe.
  2、在注册表:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  添加如下键值:
  "Reactor3 = "%System%\%随机字母%32.exe"
  使每次启动时,病毒能自动运行。
  3、尝试删除注册表
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  以下键名:
  center
  reactor
  Rhino
  4、尝试注入其他进程,如果注入成功,则病毒进程在任务管理器中消失。
  5、尝试在以下后缀名的文件中查找电子邮件地址
  .adb
  .asp
  .dbx
  .htm
  .php
  .pl
  .sht
  .tbb
  .txt
  .wab
  6、过滤含有以下字符的电子邮件:
  accoun
  acketst
  admin
  anyone
  arin.
  be_loyal:
  berkeley
  borlan
  certific
  contact
  example
  feste
  gold-certs
  google
  hotmail
  ibm.com
  icrosof
  icrosoft
  inpris
  isc.o
  isi.e
  kernel
  linux
  listserv
  mit.e
  mozilla
  mydomai
  nobody
  nodomai
  noone
  nothing
  ntivi
  panda
  postmaster
  privacy
  rating
  rfc-ed
  ripe.
  ruslis
  samples
  secur
  sendmail
  service
  somebody
  someone
  sopho
  submit
  support
  tanford.e
  the.bat
  usenet
  utgers.ed
  webmaster
  7、向找到的电子邮件发送邮件:
  主题为:
  Hi!
  空白
  随机
  Confirmation
  funny photos :)
  hello
  hey!
  8、邮件内容可能为以下之一:
  1)FREE ADULT VIDEO! SIGN UP NOW!
  2)Look at my homepage with my last webcam photos!
  9、邮件内容中有一个超链接(http://已感染机器地址:1639/webcam.htm)。如果用户点击该链接,会打开一个带有最近发现的IE浏览器IFRAME标签溢出漏洞的网页,漏洞网页会下载http://已感染机器地址:1639/reactor (即:Worm.Mydoom.ah)到用户机器上,并运行
  10、尝试利用TCP6667端口连接以下IRC服务器:
  b*****y.ny.us.dal.net
  b*****s.be.eu.undernet.org
  c*****.eu.undernet.org
  c*****.net
  c*****al.net
  d*****nl.eu.undernet.org
  f*****s.be.eu.undernet.org
  g*****.eu.undernet.org
  l*****uk.eu.undernet.org
  l*****eles.ca.us.undernet.org
  l*****e.eu.undernet.org
  o*****.dal.net
  q*****us.dal.net
  v*****er.dal.net
  v*****dal.net
  w*****ton.dc.us.undernet.org
  11、开启TCP1639端口作为后门,
  12、2004年12月15日02时28分,病毒自动停止运行。
编辑/发表时间:2009-05-30 05:19
编辑词条如何编辑词条?)                          历史版本

资料出处:
贡献者:
狄志军