Email-Worm.Win32.Mydoom.ag是病毒的名稱 ,病毒類型: 郵件蠕蟲,危害等級: 高。
基本介紹
基本信息,病毒描述,行為分析,
基本信息
開發工具: Visual C++ 6.0
病毒描述
該病毒通過 email 傳播,也可通過 p2p 網路傳播,通過查找某些擴展名檔案中的 email 地址並傳送郵件。用戶運行該病毒後會打開記事本。修改註冊表,在 %winnt\system32% 下生成病毒體 lsasrv.exe , version.ini 和 hserv.sys 。修改 %System%\drivers\etc\hosts 檔案,使得用戶在連線某些網路安全公司時連線 127.0.0.1 。打開註冊表並查詢 run 下的鍵值,查詢是否包含某些防毒、安全及資源軟體的啟動值,若存在則刪除。 。
行為分析
1 、創建互斥體: "-=sutxatL.RG_0.2.1=-" "-=RTSW.Smash_0a2a1=-"
2 、在 %system%\WINNT\System32\ 下生成病毒體檔案 lassrv.exe ,屬性:存檔
3 、打開註冊表並查詢 run 下的鍵值,是否包含某些防毒,安全,資源軟體的啟動值,若有則刪除並終止其進程,如: taskmon 、 PandaAVEngine 、 sysinfo.exe 、 System MScvb 、 system auto update 等。
4 、 修改註冊表,添加啟動項、 Winlogon :
Software\Microsoft\Windows\CurrentVersion\Run\lsasrv.exe
Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ lsasrv.exe
5 、查找具有以下擴展名檔案並搜尋 email 地址,直接連到 SMTP 伺服器,傳送
病毒郵件,達到傳播的目的。
htmb 、 shtl 、 phpq 、 cgiq 、 htaq 、 htcq 、 xhtq 、 stmq 、 ssiq 、 incq 、 jspq 、 xmlq 、 dltq 、 xsdq 、 xstq 、 rssq 、 rdfq 、 lbiq 、 dwtq 、 asaq 、 ascq 、 asmq 、 cspq 、 vbpq 、 conf 、 tplq 、 jstq 、 wmlq 、 vbsq 、 edmq 、 aspd 、 dbxn 、 tbbg 、 adbh 、 wab
6 、 通過 P2P 傳播:如果蠕蟲在受感染計算機中尋找 P2P 客戶端軟體,如: KaZaa 、 Morpheus, 、 iMesh 、 Edonkey 、 LimeWire ,將自己複製到已分享檔案夾中。路徑如: ”%system% \Program Files\LimeWire\Shared\NeroBROM6.3.1.27.pif”
7 、修改 %System%\drivers\etc\hosts 檔案,使得用戶在連線某些網站時連線到 127.0.0.1 。