Worm_Mydoom.M

該蠕蟲主要通過郵件進行傳播。一旦感染機器,它會從受感染系統中的Windows地址簿、臨時目錄和某些固定驅動器中蒐集目標郵件地址,並且該蠕蟲還會在傳送郵件的時候使用社會工程學技術,使得發出的郵件使用虛假的發件人,並且偽裝成一封傳送失敗的通告信,這樣來誘騙計算機用戶。

名稱

Worm_Mydoom.M

相關資料

病毒名稱:Worm_Mydoom.M
其它命名:Worm.Novarg.an(瑞星)
WORM_MYDOOM.BB(趨勢)
W32/Mydoom.bb@MM (McAfee)
W32.Mydoom.AX@mm(Symantec)
Worm.Win32.Mydoom.am (Kaspersky)
病毒類型:蠕蟲
毒大小:25,771位元組
影響系統: WinME/Win9x/WinNT/Win2000/WinXP
病毒特性:
1、生成檔案
蠕蟲運行後,會在%System%目錄下生成自身拷貝java.exe,並且還會在Windows臨時目錄中創建日誌檔案 Zincite.log,該檔案包含病毒使用的一些數據。它同時創建一個互斥體,互斥體的名稱來自它被執行系統的主機名。
2、修改註冊表項
病毒添加註冊表項,使得自身能夠在系統啟動時自動運行,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 下添加
JavaVM="%Windows%\java.exe"
Services="%Windows%\services.exe"
( %Windows%代表Windows 資料夾,通常是C:\Windows 或 C:\WINNT.)
還會創建如下註冊表鍵作為病毒感染的標記:
HKEY_LOCAL_MACHINE\Software\Microsoft\Daemon
3、通過郵件傳播
該病毒通過SMTP並利用郵件進行傳播。首先,病毒會檢查網路連線和本地DNS伺服器的連線。隨後,病毒還會搜尋與目標地址域名相符的郵件交換器,一旦發現,病毒就會使用這些搜尋到的郵件交換器作為自己的SMTP伺服器,通過郵件向外傳播。
4、後門功能
該病毒在%Windows%資料夾中產生一個名為SERVICES.EXE的後門組件,它可以通過打開TCP連線埠1034來等待自外部的連線請求。這樣一來,一些惡意破壞程式以及黑客木馬程式就有可能藉機通過該連線埠進入到受感染的計算機內,造成計算機癱瘓,無法使用等嚴重後果。

相關詞條

相關搜尋

熱門詞條

聯絡我們