恶性蠕虫:小邮差变种“诺维格”(Worm.Novarg.a、Mydoom)★★★★
感染系统:Win9x/WinMe/Win2000/WinXP/Win2003
邮件恶性蠕虫,大量发送垃圾邮件,造成邮件服务器性能下降或瘫痪,阻塞网络,影响正常的网络工作环境。该蠕虫还会在受感染的系统内留下危险级极高的后门,可让黑客远程登录受感染的系统,以及对网站发起恶意的DoS攻击。以下是该病毒的技术特点:
病毒信息:
病毒名称:Worm.Novarg.a
中文名称:诺维格
威胁级别:4A
病毒别名:“SCO炸弹” [瑞星]
“挪威客” [江民]
W32/Mydoom@MM [McAfee]
WORM_MIMAIL.R [Trend]
W32.Novarg.A@mm [Symantec]
受影响系统:Win9x/NT/2K/XP/2003
技术特征:
1、创建如下文件:
%System%shimgapi.dll
%temp%Message, 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。
(注:%system%为系统目录,对于Win9x系统,目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;
3、添加如下注册表项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
TaskMon = %System%\taskmon.exe
使病毒可随机启动;
添加如下注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
用于存储病毒的活动信息。
4、对www.sco.com实施拒绝服务(DoS)攻击;
5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;采用“系统退信”的方法传播病毒邮件;
7、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pif\scr\bat),欺骗其它KaZaA用户下载,达到传播的目的:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
解决方案:
因此在了解了该病毒的特别传播方式以后,我们就可以找到防范的方法:
1、请升级您的金山毒霸到2004年1月27日的病毒库,并打开病毒防火墙和邮件防火墙来阻止病毒邮件的入侵;
2、如果出现提示说系统退信时,请不要打开退信中的附件;
3、不要打开陌生人邮件;
4、改变文件的查看方式,让文件显示完整的扩展名,使病毒无处藏身。病毒常用后缀为:.bat, .cmd, .exe, .pif, .scr,.zip。
打开显示完整扩展名的方法:
A、打开资源管理器,单击“工具”,再单击“文件夹选项”
B、选择“查看”标签项
C、找到“隐藏已知文件类型的扩展名”,取消前面的“勾”
D、点击“确定”即可。
如果不幸中了此病毒,请使用以下方法进行查杀:
1、请升级您的杀毒软件到2最新的病毒库,使全盘完全查杀来清除该病毒;
2、如果您没有杀毒软件,您可以登录http://online.kingsoft.net使用金山毒霸的在线查毒或是金山毒霸下载版来防止该病毒的侵入;
3、所有用户还可以尽快登录到ftp://down.henannu.edu.cn/病毒防治/专杀工具/Novarg/Duba_Novarg.EXE下载“诺维格”专杀工具,以防止该病毒的肆虐。
4、用户发现该病毒的形踪,请立即升级病毒库到最新,然后将中毒机器立即隔离出网络来查杀。开启邮件服务器的邮件过滤,将病毒邮件过滤。
| 