锟斤拷锟斤拷锟角匡拷---锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟届工锟斤拷息锟斤拷锟斤拷系统

当前位置:首页 >> 新闻 >> IT新闻 >> 正文


	江民公布“I-Worm/Mydoom.e”病毒分析报告 (gx.chinavnet.com 互联星空 2004年02月25日14:38:15)
	病毒名称：I-Worm/Mydoom.e 病毒大小：34,568 bytes 传播方式：网络传播危害程度：*** 此病毒是一个群发邮件的网络蠕虫病毒，通过电子邮件并携带扩展名为 .bat, .com .cmd, .exe, .pif, .scr, 或者 .zip的病毒附件来进行传播。计算机感染病毒后，会设置后门，开放TCP 1080端口，允许攻击者连接此计算机并利用一个代理获得访问网络资源的权限，后门程序还可以下载和执行任意的文件。如果被感染计算机的系统日期是在任何一个月的17到22号之间，该病毒还会对www.microsoft.com和www.riaa.com网站执行DoS（拒绝服务）攻击。该病毒的传播过程如下： 1.显示一条虚假的消息框：标题栏为："Error"。内容可能是"File is corrupted"或者"File cannot be opened "或者"Unable to open specified file" 2.在系统注册表HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中添加 "<4到8个随机的小写字母>" = "%System%<蠕虫文件副本>"以使病毒随Windows系统一同启动。 3.在系统注册表中创建HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell和 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell两个子键。 4.检查被感染系统的日期，如果日期是在每个月的17和22号之间，则有68%的可能会对www.microsoft.com网站进行DoS攻击，有32%的可能会对www.riaa.com网站进行DoS攻击。 5.如果没有显示上述消息框，病毒会在Temp文件夹下生成一个包含随机产生的数据的文件，并用记事本程序notepad.exe打开。 6.在系统目录下生成病毒自身。该病毒自身是以随机的4到13个小写字母命名的.exe类型的可执行文件。在系统目录下生成一个.dll类型的文件，文件名是以随机的4到8个小写字母命名的，蠕虫程序将在该文件的最后填加一些随机产生的垃圾数据。这个.dll文件是蠕虫病毒后门的一个组成部分，它做为一个代理服务器打开并监听TCP 1080端口，可以下载和执行任意的文件。该后门还可以根据系统中正在运行的一些进程的名称选择并终止该进程。 7.在根目录或者在Windows的安装目录及其子目录下生成一些随机命名的.zip压缩文件，这些文件的大小是34KB 8.在从C到Z的所有驱动器中搜索下列扩展名的文件，只要不是只读存储器中的文件，病毒就会对其进行随机删除，包括网络映射等远程存储器： .mdb .doc .xls .sav .jpg .avi .bmp 9.在所有驱动器中搜索下列类型的文件中的有效的Email地址作，包括IE的临时文件夹、Windows地址薄等： wab mbx nch mmf ods rtf uin oft mht vbs msg pl eml adb tbb dbx asp php sht htm txt 10.再从搜索到的Email地址中去掉地址中包含下列字符串的邮件地址： mozilla utgers.ed tanford.e fsf. gnu mit.e bsd math unix berkeley ripe. arin. sendmail rfc-ed ietf iana irix solaris sgi.com sun.com slashdot sourcef usenet fido linux kernel google ibm.com pgp acketst secur isc.o isi.e nai.co essagela suppo foo. .mil gov. .gov ruslis nodoma mydoma example inpris borlan sopho panda hotmail msn. icrosof syma 解决方案：针对该病毒江民公司在第一时间升级了病毒库，用户只需将KV江民杀毒系列软件智能升级到2004年02月24日最新版本，开启起七套实时监控系统，即可将此病毒有效的杀死在系统之外，确保电脑不受病毒的侵扰。来源:千龙网责编:刘清

基督山恩仇記