【关键字】:My,Do,AB,MyDoom,AB
【来 源】:网络
MyDoom最新变种AB分析报告(1)
金山毒霸报道:9月17日,金山毒霸反病毒实验室应急处理中心截获“MYDOOM”的最新变种AB。根据金山毒霸监测网的分析,该病毒会通过ICQ和指定网站传播,大量的邮件服务器已经收到该病毒发送的大量病毒邮件,请各位广大用户提严防该病毒的侵害。
以下是该病毒的详情:
病毒信息:
病毒名称: Worm.Mydoom.AB
中文名称: 诺维格变种AB
威胁级别: 二级
病毒别名: I-Worm.Mydoom.y[AVP]
发现日期: 2004.09.17
病毒简介:
A、该病毒会把自身复制到windows目录下并以服务的形式随计算机启动而运行.;
B、通过修改注册表禁止使用注册表工具(regedit);
C、修改hosts文件使用户无法登录一些安全或反病毒公司主页;
D、通过ICQ发送带毒链接来传播自身;
E、从指定的网站下载后门木马到用户机器上;
F、结束用户机器上的反病毒软件的进程;
G、向外发送大量的带毒邮件,而造成网络堵塞
技术特点:
1、把自己复制到%SystemRoot%services.exe
2、修改注册表:
A.Win9x:
在注册表主键"HKLM\SOFTWARE\ Microsoft \Windows\CurrentVersion\Run"下,
添加如下键值:"serv"="%SystemRoot%services.exe"
B.Win2000/xp:
创建服务:
服务名: NetBios Ext
显示名称: NetBios Ext
执行路径: %Windir%\services.exe serv
启动类型: Automatic
增加HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\Type = "0x10"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\Start = "0x2"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\ErrorControl = "0x1"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\ImagePath =
"%SystemRoot%\services.exe serv"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\DisplayName = "NetBios Ext"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\Security\Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBios Ext\ObjectName = "LocalSystem"
3、修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\DisableRegistryTools = "0x0"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
\DisableRegistryTools = "0x0"
4、修改%System%\drivers\etc\hosts文件,使用户不能正常登录反病毒相关网站
127.0.0.1 www.avp.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 www.symantec.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 downloads1.k asp ersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads-us1.kaspersky-labs.com
127.0.0.1 downloads-eu1.kaspersky-labs.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 workassociates.com/">www.networkassociates.com
127.0.0.1 us.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 avp.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 update.symantec.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 viruslist.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 kaspersky.com
127.0.0.1 www.trendmicro.com
(待续)
|