|
 | 作者: lqfrla [lqfrla]
 论坛用户 |
登录 |
| 国家计算机病毒应急处理中心病毒预报(2004.8.9-2004.8.15) 病毒名称:"Mydoom变种"(Worm_Mydoom.N) 病毒等级:三级 其它命名:W32/Mydoom.p@MM (McAfee) W32.Mydoom.N@mm(symantec) WORM_MYDOOM.N(trend) I-Worm.Mydoom.n(Kaspersky) Win32.Mydoom.P(冠群金辰) 病毒长度:35,328字节 病毒类型:蠕虫 感染系统:Windows 95/98/Me/NT/2000/XP/2003 病毒特性: 病毒以染毒邮件的附件形式到达,邮件的标题、内容、附件的名称都是可变的,长度约为35k。提醒用户遇到此类邮件不要打开,应立即删除。病毒运行后在系统文件夹下生成病毒文件,修改注册表,以达到自启动的目的。另外,病毒还具有后门功能。 1、生成病毒文件 该病毒运行后在%Windir%文件夹中生成文件java.exe和services.exe。 (其中,%Windir% 通常为C:\windows或C:\WINNT) 2、修改注册表 病毒修改注册表,以达到随系统启动而自动运行的目的,在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run下创建: JavaVM = "%Windir %\java.exe" Services = "%Windir %\services.exe" 病毒还在注册表中创建以下键值,作为病毒感染的标记 HKCU\SOFTWARE\Microsoft\Daemon HKLM\SOFTWARE\Microsoft\Daemon 3、通过电子邮件进行传播 病毒使用自身的SMTP引擎向外发送带毒电子邮件,进行传播。病毒会从扩展名为.adb、.asp、.dbx、.ht*、.php、.pl、.sht、.tbb、.tx*和.wab的文件中搜集邮件地址,并向这些地址发送带毒电子邮件。病毒同时会略去还有特定字符的邮件地址。 病毒发送的邮件格式如下: 主题: (为下列之一) hello hi error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returned mail: Data format error 正文:内容为可变的 附件的名称:(为下列之一) readme instruction transcript letter file text attachment document message 附件可能具有双扩展名: 第一个扩展名可能为:cmd、bat、com、exe、pif、scr、zip 第二个扩展名可能为:doc、txt、htm、html 4、后门功能 病毒生成的文件会开启TCP1034端口,并通过该端口监听来自远程用户的连接。 清除该病毒的建议: 1、终止病毒进程 在Windows 9x/ME系统,同时按下CTRL+ALT+DELETE 在Windows NT/2000/XP系统中,同时按下CTRL+SHIFT+ESC 选择"任务管理器--〉进程",选中正在运行的病毒进程,并终止其运行。 2、注册表的恢复 点击"开始--〉运行",输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的JavaVM = "%Windir %\java.exe"和Services = "%Windir %\services.exe" 3、删除病毒文件 点击"开始-->查找",找到病毒生成的文件java.exe和services.exe,并将其删除。 4、运行杀毒软件对系统进行全面的病毒查杀 专家提醒: 1、 建立灾难备份系统。对于重要数据和信息,如数据库和数据系统,一定要定期备份,最好多机备份并进行异地备份,保证在丢失数据后及时恢复。 2、 在遭受了黑客的入侵以后,被感染用户的一些个人信息很有可能已经被泄漏,所以用户应当在清除黑客的同时,对个人的资料作适当的修改,以确保安全。这些信息包括登录网络的用户名、密码、邮箱密码、QQ密码,以及一些应用软件,如网上银行的账户、密码等重要信息。 |
| 地主 发表时间: 04-08-08 12:57 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
|
以后直接发到你那个置顶帖里,可以编辑回复的,把标题编辑一下 |
| B1层 发表时间: 04-08-08 15:02 |
| 回复: lqfrla [lqfrla] 论坛用户 |
登录 |
|
哦 |
| B2层 发表时间: 04-08-08 15:28 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 国家计算机病毒应急处理中心病毒预报(2004.8.9-2004.8.15)