名稱
相關資料
病毒名稱:Worm_Mydoom.S其它命名:I-Worm.Mydoom.q (Kaspersky)
W32.Mydoom.Q@mm (Symantec)
W32/Mydoom.R@mm (F-Secure)
W32/Mydoom.s@MM (McAfee)
Worm.Mydoom.q(金山)
Win32.Mydoom.s(冠群金辰)
WORM_RATOS.A(Trendmicro)
I-Worm.Mydoom.q(AVP)
病毒類型:蠕蟲
病毒長度:27,136位元組
受影響的系統:Windows 95/98/Me/NT/2000/XP/2003
病毒特性:
1、生成病毒檔案
該病毒運行後在系統內生成下列檔案,
%System%\winpsd.exe
%Windows%\rasor38a.dll
(其中,%Windows%通常為C:\Windows或C:\Winnt,%System%在Windows 95/98/Me 下為C:\Windows\System,在Windows NT/2000下為C:\Winnt\System32,在Windows XP下為 C:\Windows\System32)
2、修改註冊表
病毒修改註冊表,以達到隨系統啟動而自動運行的目的,在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下創建
winpsd = "%System%\winpsd.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer下創建
"InstaledFlashhMX""="1"
用以判定該系統已經被感染。
3、通過電子郵件進行傳播
病毒使用自身的SMTP引擎向外傳送帶毒電子郵件,進行傳播。病毒會從註冊表的相關鍵值下和多種擴展名的檔案中蒐集郵件地址,病毒還會按照一些制定的規則自己聲稱郵件地址,並向這些地址傳送帶毒電子郵件。病毒同時會略去還有特定字元的郵件地址。
病毒傳送的郵件格式如下:
主題:photos
正文:LOL!;))))
附屬檔案:photos_arc.exe
4、其他
病毒會嘗試從多個URL下載並執行一個後門程式,如下載成功,會將其保存在Windows資料夾中,名稱為winvpn32.exe。該後門程式允許惡意用戶遠程訪問被感染的計算機,從而使系統安全受到威脅。
清除該病毒的相關建議:
1、終止病毒進程
在Windows 9x/ME系統,同時按下CTRL+ALT+DELETE
在Windows NT/2000/XP系統中,同時按下CTRL+SHIFT+ESC
選擇"任務管理器--〉進程",選中正在運行的病毒進程,並終止其運行。
2、註冊表的恢復
點擊"開始--〉運行",輸入regedit,運行註冊表編輯器,依次雙擊左側的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,並刪除面板右側的winpsd = "%System%\winpsd.exe"
3、刪除病毒檔案
點擊"開始--〉查找--〉檔案和資料夾",查找"winpsd.exe"、" rasor38a.dll ",並將找到的檔案刪除。
4、運行防毒軟體對系統進行全面的病毒查殺
國家計算機病毒應急處理中心提醒廣大用戶升級防毒軟體,啟動實時監控功能,留意病毒郵件的特徵,收到此類郵件千萬不要打開附屬檔案,應立即刪除。
