【关键字】:病毒,My,Do,MyDoom
【来 源】:网络
“MyDoom”病毒最新变种分析(1)
3月4日,瑞星全球反病毒监测网在国内率先截获“SCO炸弹( MyDoom )”病毒的最新变种H—“SCO炸弹(Worm.Novarg.h)”,该病毒的特性如下:
一、病毒评估:
病毒危险等级:★★★★★
病毒类型: 蠕虫 病毒
病毒传播途径:网络/邮件
病毒依赖系统:WINDOWS NT/2000/XP
二、病毒特性:
1.该病毒属于恶性 蠕虫 病毒,具有很大的感染性和破坏性。
2.病毒运行时会在%Temp%目录中生成一个内容为随机数据的文件,并自动调用记事本程序来打开它,从而显示一些伪装信息。
注意:%Temp%是一个变量,它指的是操作 系统安装 目录中的临时目录,默认是:“C:\Windows\temp”或:“c:\Winnt\temp”。
3.病毒运行时会修改 注册表 :HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32和 HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InProcServer32,使其指向一个病毒自己释放的dll文件。
4.病毒还在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中加入自己的键值,并且在运行时会释放后门程序为:%System%\“随机字符.dll
注意:%system%是一个变量,它指的是操作 系统安装 目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。
5.病毒体内带有以下特征文字:
To netsky's creator(s):
imho, skynet is a decentralized peer-to-peer neural network.
we have seen P2P in Slapper in Sinit only. they may be called skynets,
but not your shitty app
三、病毒破坏:
1.进行Ddos攻击。
病毒会建立随机个线程启动对symantec.com网站发动Ddos攻击。
2.发送大量的病毒邮件。
病毒运行时将会从以下扩展名:.xls,.jpg,.avi,.wma,.mp4,.mp3,.wav,.wab,.mht,.adb,.tbb,.uin .rtf.,dbx,.eml,.mmf,.nch,.mbx,.asp,.pl,.sht,.php.的文件中搜索有效的email地址(病毒将避开.edu结尾的email地址),并向这些地址发送病毒邮件。
3.终止进程。
病毒将终止带有下列字眼的进程:
"hotactio"
"sperm"
"fuck"
"porn"
"penis"
"pussy"
"taskmo"
"taskmg"
"reged"
"beagle"
"wkufind"
"intren"
"click"
"updat"
"upgrad"
"utpost."
"avwupd"
"avpupd"
"d3du" (待续)
|