基本介紹
- 中文名:Worm_Mydoom.N
- 又名:W32/Mydoom.p@MM
- 病毒長度:35,328位元組
- 病毒類型:蠕蟲
病毒介紹,病毒後門,
病毒介紹
病毒名稱:"Mydoom變種"(Worm_Mydoom.N)
其它命名:W32/Mydoom.p@MM (McAfee)
W32.Mydoom.N@mm(symantec)
WORM_MYDOOM.N(trend)
I-Worm.Mydoom.n(Kaspersky)
Win32.Mydoom.P(冠群金辰)
病毒長度:35,328位元組
病毒類型:蠕蟲
感染系統:Windows 95/98/Me/NT/2000/XP/2003
病毒後門
1、生成病毒檔案
該病毒運行後在%Windir%資料夾中生成檔案java.exe和services.exe。
(其中,%Windir% 通常為C:\windows或C:\WINNT)
2、修改註冊表
病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下創建:
JavaVM = "%Windir %\java.exe"
Services = "%Windir %\services.exe"
病毒還在註冊表中創建以下鍵值,作為病毒感染的標記
HKCU\SOFTWARE\Microsoft\Daemon
HKLM\SOFTWARE\Microsoft\Daemon
3、通過電子郵件進行傳播
病毒使用自身的SMTP引擎向外傳送帶毒電子郵件,進行傳播。病毒會從擴展名為.adb、.asp、.dbx、.ht*、.php、.pl、.sht、.tbb、.tx*和.wab的檔案中蒐集郵件地址,並向這些地址傳送帶毒電子郵件。病毒同時會略去還有特定字元的郵件地址。
病毒傳送的郵件格式如下:
主題: (為下列之一)
hello
hi
error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error
正文:內容為可變的
