基本介紹
基本信息,病毒特性,
基本信息
病毒名稱:Worm_Mydoom.M
其它命名:Worm.Novarg。an(瑞星)
WORM_MYDOOM。BB(趨勢)
W32/Mydoom。bb@MM (McAfee)
W32。Mydoom。AX@mm(Symantec)
Worm.Win32.Mydoom。am (Kaspersky)
病毒類型:蠕蟲
受影響系統: WinME/Win9x/WinNT/Win2000/WinXP
病毒特性
1、生成檔案
蠕蟲運行後,會在%System%目錄下生成自身拷貝JAVA.EXE,並且還會在Windows臨時目錄中創建日誌檔案 Zincite.log,該檔案包含病毒使用的一些數據。它同時創建一個互斥體,互斥體的名稱來自它被執行系統的主機名。
2、修改註冊表項
病毒添加註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加
JavaVM="%Windows%\java.exe"
Services="%Windows%\services.exe"
( %Windows%代表Windows 資料夾,通常是C:\Windows 或 C:\WINNT.)
還會創建如下註冊表鍵作為病毒感染的標記:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
3、通過郵件傳播
該病毒通過SMTP並利用郵件進行傳播。首先,病毒會檢查網路連線和本地DNS伺服器的連線。隨後,病毒還會搜尋與目標地址域名相符的郵件交換器,一旦發現,病毒就會使用這些搜尋到的郵件交換器作為自己的SMTP伺服器,通過郵件向外傳播。
4、後門功能
該病毒在%Windows%資料夾中產生一個名為SERVICES.EXE的後門組件,它可以通過打開TCP連線埠1034來等待自外部的連線請求。這樣一來,一些惡意破壞程式以及黑客木馬程式就有可能藉機通過該連線埠進入到受感染的計算機內,造成計算機癱瘓,無法使用等嚴重後果。