基本介紹
- 中文名:"諾維格"變種
- 外文名:Worm.Novarg.e
- 處理時間:2004-02-24
- 病毒類型:蠕蟲
病毒介紹,其他信息,
病毒介紹
病毒別名:W32/Mydoom.f@MM [McAfee] W32.Novarg.f@mm [Symantec] I-Worm.Mydoom.e [AVP]
處理時間:2004-02-24
威脅級別:★★★
中文名稱:"諾維格"變種
病毒類型:蠕蟲
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為:
諾維格
編寫工具:彙編編寫,UPX壓縮
傳染條件:通過郵件傳播
發作條件:在每個月的17至22日對www.microsoft.com 和 www.riaa.com網站,發起DoS攻擊。
系統修改:
其他信息
A、拷貝自己到系統目錄,使用有4到13個字母組成的隨機名字,後綴名是exe;
B、搜尋所有的盤符(從A到Z),查找含有“starup、Start、shar”字元串的資料夾,並釋放病毒複本,病毒檔案名稱隨機生成;
C、在系統目錄里釋放DLL檔案,該DLL檔案用於在TCP 1080連線埠開啟後門,等待黑客連線上傳惡程式。
D、結束含有以下字元串的進程,這些進程多為反病毒軟體的主程式所使用,因此該病毒會中止大量反病毒軟體,來提高自己的生存期:
reged
taskmo
taskmg
avp.
avp32
norton
navapw
navw3
intrena
mcafe
isc.o
F、在註冊表的主鍵:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosftWindowsCurrentVersionRun
中添加如下鍵值,使病毒可隨機自啟動:
<4到13個隨機字元串> = %System%<4到13個隨機字元串>.exe
創建如下鍵值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell
G、驅動器為“硬碟、網路共享、RAM盤”時,病毒會隨機刪除以下檔案,造成數據丟失
.mdb
.doc
.xls
.sav
.jpg
.avi
.bmp
發作現象:
A、病毒偽裝成文本檔案的圖示,如下所示:
Worm.Novarg.e.1.gif
B、病毒在激活時可能顯示如下對話框
Worm.Novarg.e.2.gif
C、在%temp%資料夾下釋放一個隨機的文本檔案,並用“記事本”打開,顯示如下
Worm.Novarg.e.3.gif
這可以做為中該病毒的特徵;
特別說明: