Worm.Novarg.b

Worm.Novarg.b

Worm.Novarg.b是一種蠕蟲病毒,中文名為“諾維格”,可以進行系統修改,如修改系統hosts檔案,禁止用戶對網站的訪問,從2004年2月1延續到2004年2月12日期間開啟多個執行緒對網站進行攻擊,使用病毒自身的SMTP引擎傳送郵件,附屬檔案可能有雙綴。

病毒別名:W32.Mydoom.B@mm[Symantec]
處理時間:
威脅級別:★
中文名稱:諾維格
病毒類型:蠕蟲
影響系統:Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行為:
編寫工具:
傳染條件:
a.利用電子郵件傳播;
b.利用Kazaa共享傳播;
發作條件:
2004年2月1延續到2004年2月12日
系統修改:
a.創建如下檔案:
%System%Ctfmon.dll
%Temp%Message:這個檔案由隨機字母通組成。
%System%Explorer.exe
b.複製自身到Kazaa已分享資料夾中,檔案名稱如下:
icq2004-final
Xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
ZapSetup_40_148
MS04-01_hotfix
Winamp5
AttackXP-1.26
NessusScan_pro
擴展名可能如下:
.pif
.scr
.bat
.exe
c.添加如下註冊表項:
HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
"Explorer" = "%System%Explorer.exe"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Explorer" = "%System%Explorer.exe"
HKEY_CLASSES_ROOTCLSIDInProcServer32
%默認% = "%System%ctfmon.dll"
d.修改系統hosts檔案,禁止用戶對以下網站的訪問:
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.microsoft.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com
發作現象:
a.從2004年2月1號開始開啟多個執行緒可能對www.sco.com發動DOS攻擊,從2月3日起可能對www.microsoft.com發起DOS攻擊,直到2004年3月1日結束.
特別說明:
a、%System%Ctfmon.dll的功能是一個代理伺服器,開啟後門,可下載執行任意程式.
b、病毒在如下後綴的檔案中搜尋電子郵件地址:
.htm
.sht
.php
.asp
.dbx
.TBB
.adb
.pl
.wab
.txt
c、使用病毒自身的SMTP引擎傳送郵件,他優先選擇下面的域名伺服器傳送郵件,如果失敗,則使用本地的郵件伺服器傳送。
gate.
ns.
relay.
mail1.
mxs.
mx1.
smtp.
mail.
mx.
d、郵件內容如下:
From: 可能是一個欺騙性的地址
主題:
Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
正文:
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附屬檔案可能有雙綴,如果有雙後綴,則第一個可能的後綴如下:
.htm
.txt
.doc
第二個後綴可能如下:
.pif
.scr
.exe
.cmd
.bat
.zip
如果附屬檔案是個exe或scr檔案的擴展名,則顯示的是一個文本檔案的圖示

相關詞條

相關搜尋

熱門詞條

聯絡我們