Worm.Novarg.e

病毒別名：W32/Mydoom.f@MM [McAfee] W32.Novarg.f@mm [Symantec] I-Worm.Mydoom.e [AVP]

處理時間：2004-02-24

威脅級別：★★★

中文名稱："諾維格"變種

病毒類型：蠕蟲

影響系統：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒行為:

諾維格

編寫工具:彙編編寫，UPX壓縮

傳染條件:通過郵件傳播

發作條件:在每個月的17至22日對www.microsoft.com 和 www.riaa.com網站,發起DoS攻擊。

系統修改:

A、拷貝自己到系統目錄，使用有4到13個字母組成的隨機名字，後綴名是exe;

B、搜尋所有的盤符（從A到Z），查找含有“starup、Start、shar”字元串的資料夾，並釋放病毒複本，病毒檔案名稱隨機生成；

C、在系統目錄里釋放DLL檔案，該DLL檔案用於在TCP 1080連線埠開啟後門，等待黑客連線上傳惡程式。

D、結束含有以下字元串的進程，這些進程多為反病毒軟體的主程式所使用，因此該病毒會中止大量反病毒軟體，來提高自己的生存期：

reged

taskmo

taskmg

avp.

avp32

norton

navapw

navw3

intrena

mcafe

isc.o

E、在根目錄或WINDOWS安裝目錄釋放一個34K的.ZIP壓縮檔檔案；

F、在註冊表的主鍵：

HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosftWindowsCurrentVersionRun

中添加如下鍵值，使病毒可隨機自啟動：

<4到13個隨機字元串> = %System%<4到13個隨機字元串>.exe

創建如下鍵值：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell

G、驅動器為“硬碟、網路共享、RAM盤”時，病毒會隨機刪除以下檔案，造成數據丟失

.mdb

.doc

.xls

.sav

.jpg

.avi

.bmp

發作現象:

A、病毒偽裝成文本檔案的圖示，如下所示：

Worm.Novarg.e.1.gif

B、病毒在激活時可能顯示如下對話框

Worm.Novarg.e.2.gif

C、在%temp%資料夾下釋放一個隨機的文本檔案，並用“記事本”打開，顯示如下

Worm.Novarg.e.3.gif

這可以做為中該病毒的特徵；

特別說明: