基本介紹
- 中文名:Worm.Mydoom.ag
- 威脅級別 : ★★★
- 病毒類型 : 蠕蟲
- 影響系統 : Win9x / WinNT
簡介,病毒行為,具體表現,
簡介
病毒別名:
處理時間:
中文名稱:
病毒行為
該蠕蟲通過電子郵件進行傳播,用戶收到病毒郵件中,會有一個超連結,並有誘使用戶打開超連結的文字。連結的網頁為一個含有IFRAME標籤緩衝區漏洞的網頁,用戶點擊該後,存在該漏洞的瀏覽器會自動從網上下載病毒體,這時用戶的IE瀏覽器會出現假死現象。若下載成功,則在機器上運行,從而使機器中毒。
具體表現
1、將自身複製到如下目錄中:
%System%\%隨機字母%32.exe.
2、在註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值:
"Reactor3 = "%System%\%隨機字母%32.exe"
使每次啟動時,病毒能自動運行。
3、嘗試刪除註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下鍵名:
center
reactor
Rhino
4、嘗試注入其他進程,如果注入成功,則病毒進程在任務管理器中消失。
5、嘗試在以下後綴名的檔案中查找電子郵件地址
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
6、過濾含有以下字元的電子郵件:
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
7、向找到的電子郵件傳送郵件:
主題為:
Hi!
空白
隨機
Confirmation
funny photos :)
hello
hey!
8、郵件內容可能為以下之一:
1)FREE ADULT VIDEO! SIGN UP NOW!
2)Look at my homepage with my last webcam photos!
9、郵件內容中有一個超連結(http://已感染機器地址:1639/webcam.htm)。如果用戶點擊該連結,會打開一個帶有最近發現的IE瀏覽器IFRAME標籤溢出漏洞的網頁,漏洞網頁會下載http://已感染機器地址:1639/reactor (即:Worm.Mydoom.ah)到用戶機器上,並運行
10、嘗試利用TCP6667連線埠連線以下IRC伺服器:
b*****y.ny.us.dal.net
b*****s.be.eu.undernet.org
c*****.eu.undernet.org
c*****.net
c*****al.net
d*****nl.eu.undernet.org
f*****s.be.eu.undernet.org
g*****.eu.undernet.org
l*****uk.eu.undernet.org
l*****eles.ca.us.undernet.org
l*****e.eu.undernet.org
o*****.dal.net
q*****us.dal.net
v*****er.dal.net
v*****dal.net
w*****ton.dc.us.undernet.org
11、開啟TCP1639連線埠作為後門,
12、2004年12月15日02時28分,病毒自動停止運行。
