該病毒只感染被“諾維格”(Novarg/Mydoom、Novarg.b/Mydoom.b)感染的系統。
基本介紹
- 中文名:MyDoom獵手
- 外文名:WORM_DOOMHUNTR.A [Trend] W32.Doomhunter [Symentec]
- 威脅級別:★★
- 病毒類型:蠕蟲
病毒行為:
編寫工具:
C/C++編寫
傳染條件:
發作條件:
系統修改:
A、自我複製到系統目錄
%system%worm.exe
B、添加以下鍵值
"Delete Me"="worm.exe"
到
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
使病毒可隨機自啟動
C、刪除以下鍵值,該鍵值會被“諾維格”病毒改寫
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer32
D、病毒在TCP連線埠3127上臨聽,可讓遠程黑客訪問該連線埠,可能用於上傳另外的病毒;
發作現象:
A、病毒激活搜尋可用IP,然後通過擁有該IP的系統的3127連線埠傳送自己,“諾維格”病毒在收到該病毒後會立即運行它;
B、結束並刪除以下進程,這些進程名都是“諾維格”和“衝擊波”,以及“衝擊波剋星”等病毒的主程式採用的檔案名稱:
SHIMGAPI.DLL
CTFMON.DLL
REGEDIT.EXE
TEEKIDS.EXE
MSBLAST.EXE
EXPLORER.EXE
TASKMON.EXE
INTRENAT.EXE
C、病毒在運行時會彈出如下視窗:
(20040219_Worm.DoomHunter.1.gif)
(20040219_Worm.DoomHunter.1.gif)
特別說明:
