概述
I-Worm/Mydoom.g
病毒長度:約20 KB
病毒類型:網路蠕蟲危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Mydoom.g在TCP 80和1080連線埠開後門群發郵件,能夠下載並執行任意檔案,而且對一些特定的網站進行DoS(拒絕服務)攻擊。
特點
蠕蟲傳播過程及特徵:
1.可能在臨時資料夾(Temp)下生成一個檔案,它包含一些隨機產生的數據,默認以記事本程式打開;在系統資料夾下生成<隨機值>.dll和<隨機值>.exe(或scr)。
2.用蠕蟲生成的.dll組件作為代理伺服器在TCP 80和1080連線埠打開後門並進行監聽,可以下載和執行任意檔案。
3.終止大量的反病毒軟體和一些蠕蟲進程。
4.遍歷從C到Z的所有驅動器,在隨機選擇的資料夾下創建<隨機值>.exe(蠕蟲副本)和<隨機值>.zip(檔案檔案)
5.修改註冊表:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run下添加"<隨機小寫字母>" = "%System%\<蠕蟲檔案名稱>"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加"<隨機小寫字母>" = "%System%\<蠕蟲檔案名稱>"
HKEY_CLASSES_ROOT\CLSID\\InprocServer32下添加"<預設直>" = "%System%\<蠕蟲檔案名稱>.dll"
HKEY_CLASSES_ROOT\CLSID\\InprocServer32下添加"<預設直>" = "%System%\<蠕蟲檔案名稱>.dll"
6.搜尋C:\Feedlist檔案,如果它不存在蠕蟲就對一些特定的網站發動DoS攻擊。
7.遍歷從C到Z驅動器下有下列擴展名的檔案:
avi ,doc ,jpg ,mp3 ,mp4 ,wav ,wma ,xls
蠕蟲進行自我複製時,使用的檔案名稱是:用上述找到的檔案名稱並在其後追加.exe和.scr擴展名。
8.遍歷從C到Z驅動器下為下列擴展名的檔案,搜尋包含"Inbox"字元的檔案:
adb ,asp ,dbx ,eml ,htm ,mbx ,mht ,mmf
,msg ,nch ,php ,rtf ,sht ,tbb ,txt
,uin ,wab
如果是硬碟驅動器或RAM驅動器,蠕蟲同時會搜尋有效的郵件地址。
9.在IE的臨時資料夾和Windows地址簿里搜尋有效郵件地址,包含下列字元串的郵件地址視為無效:
berkeley ,bsd ,example.com ,fsf. ,gnu. ,
google. ,ibm.com ,isc.org ,isi.edu ,kernel. ,
mit.edu ,moziplla. ,PacketStorm ,rfc-edit ,rutgers.edu ,secur ,sendmail. ,sf.net ,slashdot. ,sourceforge ,stanford.edu ,uci.edu
,ucsd.edu ,unix ,urlon ,ymante
10.用自帶的引擎傳送自身到上述地址,郵件有如下特徵:
發件人:隨機特徵的名字加上下列域名:
aol.com ,msn.com ,yahoo.com ,hotmail.com,<隨機值>.edu
主題:不一定
附屬檔案:擴展名為exe ,scr ,pif ,cmd ,bat ,
com ,zip的檔案,用Windows Media程式圖示顯示。
