Worm/Mydoom.i

bytes bytes

簡介

I-Worm/Mydoom.i
病毒長度:50,688 bytes (.exe), 大約50,800-51,000 bytes (.zip)
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me
I-Worm/Mydoom.i是一個群發郵件蠕蟲,用C++編寫並經UPX壓縮過。病毒包含在一個加密的並具有.pif, .scr, .exe, .cmd, .bat,或.zip擴展名的附屬檔案里。此外病毒還具有記錄鍵擊能力,試圖通過檔案共享軟體KaZaA進行傳播。
傳播過程及特徵:
1.在臨時資料夾下生成檔案:%Temp%\Message ---- 隨機產生數據並用記事本程式打開。
在系統目錄下複製自身為:%System%\taskmon.exe。
在系統目錄下嵌入三個隨機名字的.dll檔案。
2.修改註冊表:
添加鍵值"Taskmon" = "%System%\taskmon.exe "到:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
3.試圖拷貝自身到KaZaA的download資料夾下,並用下列檔案名稱:
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
winamp5
擴展名為下列之一:
.exe.scr.pif.cmd.bat.com.zip
4.在系統目錄下嵌入一個記錄鍵擊的.dll檔案,此檔案名稱是隨機的。然後蠕蟲周期性的傳送鍵擊日誌檔案給黑客。
5.結束一些反病毒和安全軟體及其相關的進程。
6.從下列類型的檔案中收集郵件地址:
.adb .asp .dbx .htm .php .pl .sht .tbb .txt .wab
並用自帶的SMTP引擎傳送郵件。郵件特徵:
發件人:偽造
主題:空白或下列之一
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
郵件正文:空白或下列之一
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test
附屬檔案:附屬檔案名為下列之一
bodydatadocdocumentfilemessagereadme testtext
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System
(Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
%Temp% 是變數一般為 C:\Windows\TEMP (Windows 95/98/Me/XP)
or C:\WINNT\Temp (Windows NT/2000)。

參考

百度百科、雅虎百科、GG百科、114百科

相關搜尋

熱門詞條

聯絡我們