基本介紹
- 中文名:W32.Mydoom.F@mm
- 發現:2004 年 2 月 20 日
- 更新:2007 年 2 月 13 日
- 類型:Worm
基本信息,感染,分析,特徵,防護,威脅評估,廣度,損壞,分發,執行操作,建議,使用 W32.Mydoom.F@mm 防毒工具,手動刪除,
基本信息
12:21:15 PM
別名:W32/Mydoom.f@MM [McAfee],WORM_MYDOOM.F [Trend],W32/MyDoom-F [Sophos],I-Worm.Mydoom.f [Kaspersky],Win32.Mydoom.F [Computer Assoc
感染
感染長度:34,568 bytes (.exe);varies (.zip)
受感染的系統:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003,Windows XP
分析
W32.Mydoom.F@mm 蠕蟲:
* 一種群發郵件蠕蟲,在 TCP 連線埠 1080 上打開後門程式
* 可以下載並執行任意檔案
* 通過打開 TCP 連線埠 1080,在受感染系統中設定後門程式。這樣,攻擊者便可連線到計算機並使用該計算機作為代理以訪問其網路資源。
該蠕蟲以附屬檔案的形式到達,檔案擴展名為 .bat、.com、.cmd、.exe、.pif、.scr 或 .zip。電子郵件的“發件人”行可能是虛假的。
特徵
蠕蟲傳送的電子郵件具有以下特徵:
發件人:
發件人可能是下列名稱之一:
* jerry
* bill
* smith
* jim
* sam
* james
* alex
* <隨機字元>
* <;隨機字元.edu>
注意:該蠕蟲還可能會使用從本地檔案中找到的電子郵件地址。
主題:(下列之一)
* <blank>
* Announcement
* Re: Thank you
* Thank you
* Re: Details
* Details
* Re: Approved
* Approved
* hi,it's me
* Thank You very very much
* You use illegal File Sharing...
* Your IP was logged
* Your account is about to be expired
* Love is
* Love is...
* Undeliverable message
* Re: <censored>
* Your order was registered
* Your request was registered
* Your order is being processed
* Your request is being processed
* Current Status
* read now!
* forget
* bug
* unknown
* fake
* Wanted
* recent news
* news
* stolen
* Attention
* Accident
* Schedule
* Your credit card
* Read it immediately!
* Read this
* Read it immediately
* Something for you
* For you
* For your information
* Information
* Warning
* You have 1 day left
* automatic notification
* automatic responder
* Notification
* Expired account
* Your account has expired
* Important
* Readme
* Read this message
* please read
* please reply
* Registration confirmation
* Confirmation
* Confirmation Required
* Returned Mail
* hello
* hi
訊息:(下列之一)
* You are bad
* Take it
* Reply
* Please,reply
* Information about you
* Greetings
* See you
* Here it is
* We have received this document from your e-mail.
* Kill the writer of this document!
* Something about you
* I have your password :)
* You are a bad writer
* Is that yours?
* Is that from you?
* I wait for your reply.
* Here is the document.
* Read the details.
* I'm waiting
* Okay
* OK
* Everything ok?
* Check the attached document.
* The document was sent in compressed format.
* Please see the attached file for details
* See the attached file for details
* Details are in the attached document. You need Microsoft Office to open it.
附屬檔案:(下列之一)
* photo
* resume
* image
* your_document
* approved
* paypal
* disc
* misc
* part3
* part2
* part4
* part1
* mail2
* object
* website
* friend
* jokes
* joke
* list
* mail
* story
* about
* money
* check
* product
* notes
* note
* information
* textfile
* posting
* post
* stuff
* attachment
* creditcard
* details
* body
* message
* test
* data
* file
* text
* readme
* document
* doc
* msg
* <some randomly letters>
* <;一些隨機字母>
擴展名是下列之一:
* .exe
* .scr
* .com
* .pif
* .bat
* .cmd
附屬檔案可能有兩個擴展名。如果是這種情況,第一個擴展名將是下列之一:
* .doc
* .htm
* .rtf
* .xls
* .jpg
* .gif
* .png
* .txt
後面跟有 40 到 159 個空格。
第二個擴展名將是下列之一:
* .exe
* .pif
* .scr
注意:
該蠕蟲有 40% 的幾率將一個 .zip 檔案作為附屬檔案傳送。該檔案是包含蠕蟲副本的實際 .zip 檔案,與 .zip 檔案的檔案名稱相同。(例如,details.zip 可能包含 detail.exe。)
如果蠕蟲具有 .exe 或 .scr 擴展名,則該檔案將用下列圖示顯示:
對於所有其他檔案擴展名,將使用相應檔案類型的圖示。
防護
* 病毒定義(每周 LiveUpdate) 2004 年 2 月 23 日
* 病毒定義(智慧型更新程式) 2004 年 2 月 23 日
威脅評估
廣度
* 廣度級別:Medium
* 感染數量:50 - 999
* 站點數量:More than 10
* 地理位置分布:Low
* 威脅抑制:Easy
* 清除:Moderate
損壞
* 損壞級別:Medium
* 大規模傳送電子郵件:Sends to email addresses found in a specified set of files.
* 刪除檔案:Searches for files that have the extensions .mdb,.doc,.xls,.sav,.jpg,.avi,and .bmp,and may delete them.
* 危及安全設定:Allows unauthorized remote access.
分發
* 分發級別:High
* 電子郵件的主題:Varies
* 附屬檔案名稱:Varies with an extension of .pif,.scr,.exe,.cmd,.com,.bat,or .zip.
* 附屬檔案大小:34,568 bytes (about 34k if it
* 連線埠:TCP 1080
執行操作
執行 W32.Mydoom.F@mm 時,該蠕蟲會執行下列操作:
⒈ 創建名為“jmydoat<;受感染計算機的名稱>Xmtx”的互斥體,此互斥體僅允許在記憶體中執行一個蠕蟲實例。
⒉ 可能會顯示以下虛假訊息:
標題:Error
訊息:(下列之一)
* File is corrupted
* File cannot be opened
* Unable to open specified file
⒊ 如果沒有顯示以上訊息,可能會在 %Temp% 資料夾中創建包含隨機生成的一些數據的檔案。該蠕蟲使用 notepad.exe 打開檔案。
注意:%Temp% 是一個變數。蠕蟲會找到臨時資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\TEMP (Windows 95/98/Me)、C:\WINNT\Temp (Windows NT/2000) 或 C:\Document and Settings\<UserName>\Local Settings\Temp (Windows XP)。
⒋ 使用隨機生成的檔案名稱(由 4 到 13 個小寫字母和擴展名 .exe 組成),將其自身複製到 %System% 資料夾中。
注意:%System% 是一個變數,蠕蟲會找到 System 資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\System (Windows 95/98/Me)、C:\Winnt\System32 (Windows NT/2000) 或 C:\Windows\System32 (Windows XP)。
⒌ 使用隨機生成的檔案名稱(由四到八個小寫字母組成)在 %System% 資料夾中創建 .dll 檔案,在 .dll 檔案結尾附加隨機生成的數據。
⒍ 使用 .dll 組件打開一個後門程式來偵聽 TCP 連線埠 1080,.dll 組件充當代理伺服器,並可以下載和執行任意檔案。
⒎ 終止名稱中包含下列字元串之一的任意進程:
* reged
* taskmo
* taskmg
* avp.
* avp32
* norton
* navapw
* navw3
* intrena
* mcafe
⒏ 使用隨機生成的檔案名稱在根目錄或 %Windir% 資料夾及其子資料夾中創建 .zip 存檔檔案。
注意:
* %Windir% 是一個變數。蠕蟲會找到 Windows 安裝資料夾(默認為 C:\Windows 或 C:\Winnt),然後將自己的存檔複製到其中。
* .zip 檔案的大小為 34K。
⒐ 將值:
“<;四到八個隨機生成的小寫字母>" = "%System%\<;蠕蟲的檔案名稱>;”
添加到下列某個註冊表鍵中:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
這樣,此蠕蟲便可在 Windows 重新啟動時運行。
⒑ 創建下列註冊表鍵:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell
⒒ 檢查本地系統日期。如果日期介於任意月的 17 日至 22 日之間,則該蠕蟲將有 68% 的幾率針對 DoS 攻擊是通過創建隨機數量的新執行緒進行的,這些新執行緒傳送 GET 請求,並直接連線到連線埠 80。
⒓ 在驅動器 C 到 Z 上的 %System% 資料夾中搜尋具有下列擴展名的檔案:
⒔ 如果驅動器是硬碟、遠程驅動器或 RAM 驅動器,則蠕蟲會隨機刪除它找到的檔案。
⒕ 在驅動器 C 到 Z 上的 %System% 資料夾中搜尋具有下列擴展名的檔案和名稱中包含“Inbox”的所有檔案。
* .wab
* .mbx
* .nch
* .mmf
* .ods
* .rtf
* .uin
* .oft
* .mht
* .vbs
* .msg
* .pl
* .eml
* .adb
* .tbb
* .dbx
* .asp
* .php
* .sht
* .htm
* .txt
⒖ 如果驅動器是硬碟、遠程驅動器或 RAM 驅動器,則蠕蟲會從它找到的檔案中檢索電子郵件地址。
⒗ 從 %TemporaryInternetFiles% 資料夾和 Windows 通訊簿檢索電子郵件地址。
注意:%TemporaryInternetFiles% 是一個變數。該蠕蟲會找到 Internet 臨時資料夾,並將自身複製到其中。默認情況下,此資料夾為 C:\Windows\Temporary Internet Files (Windows 95/98/Me) 或 C:\Document and Settings\<UserName>\Local Settings\Temporary Internet Files (Windows NT/2000/XP)。
⒘ 該蠕蟲會避開包含下列字元串的電子郵件地址:
* mozilla
* utgers.ed
* tanford.e
* fsf.
* gnu
* mit.e
* bsd
* math
* unix
* berkeley
* ripe.
* arin.
* sendmail
* rfc-ed
* ietf
* iana
* irix
* solaris
* slashdot
* sourcef
* usenet
* fido
* linux
* kernel
* google
* pgp
* acketst
* secur
* isc.o
* isi.e
* essagela
* suppo
* foo.
* .mil
* gov.
* .gov
* ruslis
* nodoma
* mydoma
* example
* inpris
* borlan
* sopho
* panda
* hotmail
* msn.
* icrosof
* syma
⒙ 使用自己的引擎將自身或其 .zip 存檔發往找到的電子郵件地址。蠕蟲傳送的電子郵件的特徵請見本文最後的“其它信息”部分。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
使用 W32.Mydoom.F@mm 防毒工具
這是最簡單快速的方法。賽門鐵克安全回響已提供了針對 W32.Mydoom.F@mm 的防毒工具。
手動刪除
作為防毒工具的替代,您也可以依照下列說明手動刪除。
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
⒈ 禁用系統還原 (Windows Me/XP)。
⒉ 更新病毒定義。
⒊ 將計算機重啟到安全模式或者 VGA 模式。
⒋ 運行完整的系統掃描,並刪除所有檢測為 W32.Mydoom.F@mm 的檔案。
⒌ 刪除添加到註冊表的值。
有關每個步驟的詳細信息,請閱讀以下指導。
⒈ 禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
* 如何禁用或啟用 Windows XP 系統還原
* 如何禁用或啟用 Windows Me 系統還原
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設定。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
⒉ 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
* 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
* 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
⒊ 將計算機重啟到安全模式或者 VGA 模式
請關閉計算機,等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
* Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作業系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機。
* Windows NT 4 用戶:將計算機重啟到 VGA 模式。
⒋ 掃描和刪除受感染檔案
⒈ 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
* Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
⒉ 運行完整的系統掃描。
⒊ 如果檢測到任何檔案被 W32.Mydoom.F@mm 感染,請單擊“刪除”。
⒌ 從註冊表中刪除值
警告:對系統註冊表進行任何修改之前,賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯,嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示,請閱讀「如何備份 Windows 註冊表」檔案。
⒈ 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
⒉ 鍵入 regedit 然後單擊“確定”。(將打開註冊表編輯器。)
⒊ 導航至以下鍵:
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
⒋ 在右窗格中,刪除值:
“<;四到八個隨機生成的小寫字母>" = "%System%\<;蠕蟲的檔案名稱>;”
⒌ 刪除鍵:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Shell
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Shell