基本介紹
- 中文名:W32.Mydoom.M@mm
- 發現時間:2004 年 7 月 26 日
- 類型: Worm
- 感染長度:28,800 bytes
基本介紹,威脅評估,W32.Mydoom.M@mm 運行時會執行的操作,運行示例,運行中會產生的後綴,防護建議,查殺建議,每個步驟詳細信息,掃描和刪除受感染檔案方法,
基本介紹
更新時間:2007 年 2 月 13 日 12:27:29 PM
受感染的系統:Windows 2000,Windows 95,Windows 98,Windows Me,Windows NT,Windows Server 2003,Windows XP
防護
* 病毒定義(每周 LiveUpdate™) 2004 年 7 月 26 日
* 病毒定義(智慧型更新程式) 2004 年 7 月 26 日
威脅評估
廣度
* 廣度級別:Low
* 感染數量:More than 1000
* 站點數量:More than 10
* 地理位置分布:Low
* 威脅抑制:Easy
* 清除:Moderate
損壞
* 損壞級別:Medium
* 大規模傳送電子郵件:Uses its own SMTP engine to send itself to the email addresses found in the files with certain extensions.
* 降低性能:Mass-mailing may clog mail servers or degrade network performance.
分發
* 分發級別:High
* 電子郵件的主題:Varies
* 附屬檔案名稱:Varies with .cmd,.bat,.com,.exe,.pif,.scr,or .zip file extension.
* 附屬檔案大小:Varies
* 連線埠:1034/tcp
W32.Mydoom.M@mm 運行時會執行的操作
⒈ 將自身複製到 :
* %Windir%\java.exe
* %Windir%\services.exe
注意:: %Windir%是一個變數。蠕蟲會找到 Windows installation 資料夾,並將自身複製到其中。默認情況下,此資料夾為C:\Windows or C:\Winnt
⒉ 將值:
"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"
添加到下註冊表鍵中:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
這樣,TaskMon 便可在 Windows 啟動時運行。
⒊ 創建下列檔案:
* %Temp%\zincite.log
* %Temp%\[randomly named file].log
⒋ 試圖在所有包含以下字元的資料夾下創建其自身的副本:
* USERPROFILE
* yahoo.com
⒌ 在具有下列擴展名的檔案中搜尋電子郵件地址:
* .doc
* .txt
* .htm
* .html
運行示例
當蠕蟲找到一個打開的Outlook視窗時它會向找到的電子郵件地址傳送電子郵件。
此類電子郵件有以下特徵:
發件人:可能是經過偽裝的發件人地址
主題:
下列之一:
* say helo to my litl friend
* click me baby,one more time
* hello
* error
* status
* test
* report
* delivery failed
* Message could not be delivered
* Mail System Error - Returned Mail
* Delivery reports about your e-mail
* Returned mail: see transcript for details
* Returned mail: Data format error
正文:
電子郵件正為中所包含的內容會根據數種文本選項而不同。{}括弧內的句子與詞以"|"分開:
* Dear user {<recipient's email address>|of <recipient's email domain>},{ {{M|m}ail {system|server} administrator|administration} of <recipient's email domain> would like to {inform you{ that{:|,}|}|let you know {that|the following}{.|:|,}}|||||}
{We have {detected|found|received reports} that y|Y}our {e{-|}mail |}account {has been|was} used to send a {large|huge} amount of {{unsolicited{ commercial|}|junk} e{-|}mail|spam}{ messages|} during {this|the {last|recent}} week.
{We suspect that|Probably,|Most likely|Obviously,} your computer {had been|was} {compromised|infected{ by a recent v{iru}s|}} and now {run|contain}s a {trojan{ed|}|hidden} proxy server.
{Please|We recommend {that you|you to}} follow {our |the |}instruction{s|} {in the {attachment|attached {text |}file} |}in order to keep your computer safe.
{{Virtually|Sincerely} yours|Best {wishe|regard}s|Have a nice day},
{<recipient's email domain> {user |technical |}support team.|The <recipient's email domain> {support |}team.}
* {The|This|Your} message was{ undeliverable| not delivered} due to the following reason{(s)|}:
Your message {was not|could not be} delivered because the destination {computer|server} was
{not |un}reachable within the allowed queue period. The amount of time
a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery,but
it is also possible that the computer is turned off,or does not
have a mail system running right now.
* Your message {was not|could not be} delivered within <random number> days:
{{{Mail s|S}erver}|Host} <host used to send the email>} is not responding.
The following recipients {did|could} not receive this message:
<<recipient's email address>>
Please reply to postmaster@{<sender's email domain>|<recipient's email domain>}
if you feel this message to be in error.
The original message was received at [current time]{
| }from {<sender's email domain> ]|{<host used to send the email>]|]}}
----- The following addresses had permanent fatal errors -----
{<<recipient's email address>>|<recipient's email address>}
{----- Transcript of {the ||}session follows -----
... while talking to {host |{mail |}server ||||}{<recipient's email domain>.|<host used to send the email>]}:
{>>> MAIL F{rom|ROM}:[From address of mail]
<<< 50$d {[From address of mail]... |}{Refused|{Access d|D}enied|{User|Domain|Address} {unknown|blacklisted}}|554 <<recipient's email address>>... {Mail quota exceeded|Message is too
large}
554 <<recipient's email address>>... Service unavailable|550 5.1.2 <<recipient's email address>>... Host unknown (Name server: host not found)|554 {5.0.0 |}Service unavailable; ] blocked using {relays.osirusoft.com|bl.spamcop.net}{,reason: Blocked|}
Session aborted{,reason: lost connection|}|>>> RCPT To:<<recipient's email address>>
<<< 550 {MAILBOX NOT FOUND|5.1.1 <<recipient's email address>>... {User unknown|Invalid recipient|Not known here}}|>>> DATA
{<<< 400-aturner; %MAIL-E-OPENOUT,error opening !AS as output
|}{<<< 400-aturner; -RMS-E-CRE,ACP file create failed
|}{<<< 400-aturner; -SYSTEM-F-EXDISKQUOTA,disk quota exceeded
|}<<< 400}|}
The original message was included as attachment
* {{The|Your} m|M}essage could not be delivered
注意:
* <recipient's email address> is the email address of the person receiving the email.
* <recipient's email domain> is the domain of the receiver's email. For instance,if the email address is [email protected],the domain is "example.com."
* <sender's email domain> is the domain of the sender's email. For instance,if the email address is [email protected],the domain is "example.com."
* <host used to send the email> is name of the email server used by the infected computer. The worm gathers this information from the infected computer's registry.
運行中會產生的後綴
附屬檔案:(下列之一)
* readme
* instruction
* transcript
* mail
* letter
* file
* text
* attachment
* document
* message
蠕蟲總是會使用下面後綴中的一個:
* cmd
* bat
* com
* exe
* pif
* scr
該蠕蟲會避開包含下列字元串的電子郵件地址:
* mailer-d
* spam
* abuse
* master
* sample
* accou
* privacycertific
* bugs
* listserv
* submit
* ntivi
* support
* admin
* page
* the.bat
* gold-certs
* feste
* not
* help
* foo
* soft
* site
* rating
* you
* your
* someone
* anyone
* nothing
* nobody
* noone
* info
* winrar
* winzip
* rarsoft
* sf.net
* sourceforge
* ripe.
* arin.
* google
* gnu.
* gmail
* seclist
* secur
* bar.
* foo.com
* trend
* update
* uslis
* domain
* example
* sophos
* yahoo
* spersk
* panda
* hotmail
* msn.
* msdn.
* microsoft
* sarc.
* syma
* avp
防護建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack).. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
查殺建議
使用 W32.Mydoom.M@mm 防毒工具
這是最簡單快速的方法。賽門鐵克安全回響已提供了針對 W32.Mydoom.M@mm 的防毒工具。請單擊 這裡 獲取該工具。
手動刪除
以下指導適用於所有當前和最新的 Symantec 防病毒產品,包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
⒈ 禁用系統還原 (Windows Me/XP)。
⒉ 更新病毒定義。
⒊ 將計算機重啟到安全模式或者 VGA 模式。
⒋ 運行完整的系統掃描,並刪除所有檢測為 W32.Mydoom.A@mm 的檔案。
⒌ 刪除添加到註冊表的值。
每個步驟詳細信息
⒈ 禁用系統還原(Windows Me/XP)
如果您運行的是 Windows Me 或 Windows XP,建議您暫時關閉“系統還原”。此功能默認情況下是啟用的,一旦計算機中的檔案被破壞,Windows 可使用該功能將其還原。如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。因此,防病毒程式或工具無法刪除 System Restore 資料夾中的威脅。這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描可能還會檢測到 System Restore 資料夾中的威脅,即使您已將該威脅刪除。
有關如何關閉系統還原功能的指導,請參閱 Windows 文檔或下列文章之一:
o 如何禁用或啟用 Windows XP 系統還原
o 如何禁用或啟用 Windows Me 系統還原
注意:蠕蟲移除乾淨後,請按照上述文章所述恢復系統還原的設定。
有關詳細信息以及禁用 Windows Me 系統還原的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案,文章 ID:CH263455。
⒉ 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義:
o 運行 LiveUpdate(這是獲取病毒定義的最簡便方法):這些病毒定義被每周一次(通常在星期三)發布到 LiveUpdate 伺服器上,除非出現大規模的病毒爆發情況。要確定是否可通過 LiveUpdate 獲取此威脅的定義,請參考病毒定義 (LiveUpdate)。
o 使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義會在工作日(美國時間,星期一至星期五)發布。應該從 Symantec 安全回響中心網站下載病毒定義並手動進行安裝。要確定是否可通過智慧型更新程式獲取此威脅的定義,請參考病毒定義(智慧型更新程式)。
現在提供智慧型更新程式病毒定義:有關詳細說明,請參閱如何使用智慧型更新程式更新病毒定義檔案。
⒊ 將計算機重啟到安全模式或者 VGA 模式
請關閉計算機,等待至少 30 秒鐘後重新啟動到安全模式或者 VGA 模式
o Windows 95/98/Me/2000/XP 用戶:將計算機重啟到安全模式。所有 Windows 32-bit 作業系統,除了Windows NT,可以被重啟到安全模式。更多信息請參閱文檔 如何以安全模式啟動計算機。
o Windows NT 4 用戶:將計算機重啟到 VGA 模式
⒋ 掃描和刪除受感染檔案
掃描和刪除受感染檔案方法
⒈ 啟動 Symantec 防病毒程式,並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品:請閱讀文檔:如何配置 Norton AntiVirus 以掃描所有檔案。
⒉ 運行完整的系統掃描。
⒊ 如果檢測到任何檔案被 W32.Mydoom.A@mm 感染,請單擊“刪除”。
⒌ 從註冊表中刪除值
警告:對系統註冊表進行任何修改之前,賽門鐵克強烈建議您最好先替註冊表進行一次備份。對註冊表的修改如果有任何差錯,嚴重時將會導致數據遺失或檔案受損。只修改指定的註冊表鍵。如需詳細指示,請閱讀「如何備份 Windows 註冊表」檔案。
⒈ 單擊“開始”,然後單擊“運行”。(將出現“運行”對話框。)
⒉ 鍵入 regedit
然後單擊“確定”。(將打開註冊表編輯器。)
⒊ 導航至以下鍵:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
⒋ 在右窗格中,刪除值:
"Services" = "%Windir%\services.exe"
"JavaVM" = "%Windir%\java.exe"
⒌ 退出註冊表編輯器。
描述者:John Canavan