I-Worm/MyDoom.q

I-Worm/MyDoom.q

病毒類型：網路蠕蟲

病毒大小：27136位元組

傳播方式：網路

危害等級：★★★

“挪威客”最新變種I-Worm/MyDoom.q在被感染計算機上搜尋電子郵件地址，並通過其自帶的SMTP引擎傳送大量帶毒郵件。

具體分析報告如下：

1. 病毒運行後，建立如下檔案：

%Temp%\Message，垃圾信息檔案

%System%\winpsd.exe，病毒程式

%Windows%\rasor38a.dll，病毒程式

並調用記事本程式打開%Temp%\Message檔案。

2. 添加註冊表啟動項：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"winpsd"="%System%winpsd.exe"

這樣，病毒程式在Windows啟動時即可運行。

3.下載病毒檔案：

ispy.1.jpg

coco3.jpg

temp587.gif

temp728.gif

在用戶本地磁碟上保存為winvpn32.exe，並自動運行下載的病毒程式。

如果下載成功，則建立下面的註冊表項：

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer]

"InstaledFlashhMx"="1"

I-Worm/MyDoom.q下載並執行的病毒程式為Backdoor/Surila.g。

4. 病毒從具有下列擴展名的檔案中搜尋電子郵件地址：

.htm .sht .php .asp .dbx .tbb .adb .wab .pl

5. 從Outlook地址簿中獲取郵件地址。

6. 病毒利用其自帶的SMTP引擎向搜尋到的郵件地址傳送病毒郵件，並會自動迴避一些反病毒廠商和信息安全機構的地址。郵件特徵如下：

發信人：<偽造>

主題：Photos

正文：LOL!;))))

附屬檔案：photos_arc.exe，就是病毒體。