基本介紹
- 中文名:Worm.Mydoom.ah
- 威脅級別:★★★
- 病毒類型:蠕蟲
- 影響系統:Win9x / WinNT
基本信息,病毒行為,
基本信息
威脅級別:★★★
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為
連結的網頁為一個含有IFRAME標籤緩衝區漏洞的網頁,用戶點擊該後,存在該漏洞的瀏覽器會自動從網上下載病毒體,這時用戶的IE瀏覽器會出現假死現象。若下載成功,則在機器上運行,從而使機器中毒。
1、將自身複製到如下目錄中:
%System%\%隨機字母%32.exe.
2、在註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加如下鍵值:
"Reactor5" = "%System%\%隨機字母%32.exe"
使每次啟動時,病毒能自動運行。
3、嘗試刪除註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以下鍵名:
center
reactor
Rhino
Reactor3
Reactor4
4、嘗試注入其他進程,如果注入成功,則病毒進程在任務管理器中消失。
5、嘗試在以下後綴名的檔案中查找電子郵件地址
.adb
.asp
.dbx
.htm
.php
.pl
.sht
.tbb
.txt
.wab
6、過濾含有以下字元的電子郵件:
accoun
acketst
admin
anyone
arin.
be_loyal:
berkeley
borlan
certific
contact
example
feste
gold-certs
google
hotmail
ibm.com
icrosof
icrosoft
inpris
isc.o
isi.e
kernel
linux
listserv
mit.e
mozilla
mydomai
nobody
nodomai
noone
nothing
ntivi
panda
postmaster
privacy
rating
rfc-ed
ripe.
ruslis
samples
secur
sendmail
service
somebody
someone
sopho
submit
support
tanford.e
the.bat
usenet
utgers.ed
webmaster
7、向找到的電子郵件傳送郵件:
主題為:
Hi!
hey!
空白
Confirmation
8、郵件內容可能為以下之一:
1)Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!
2)Hi! I am looking for new friends.
My name is Jane, I am from Miami, FL.
See my homepage with my weblog and last webcam photos!
See you!
3)Congratulations! PayPal has successfully charged 5 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.
To see details please click this link .
DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.
Thank you for using PayPal.
10、嘗試利用TCP6667連線埠連線以下IRC伺服器:
b*****y.ny.us.dal.net
b*****s.be.eu.undernet.org
c*****.eu.undernet.org
c*****.net
c*****al.net
d*****nl.eu.undernet.org
f*****s.be.eu.undernet.org
g*****.eu.undernet.org
l*****uk.eu.undernet.org
l*****eles.ca.us.undernet.org
l*****e.eu.undernet.org
o*****.dal.net
q*****us.dal.net
v*****er.dal.net
v*****dal.net
w*****ton.dc.us.undernet.org
11、開啟TCP1639連線埠作為後門.
12、2004年12月15日02時28分,病毒自動停止運行。