首页 | 编程语言 | 网站建设 | 游戏天堂 | 冲浪宝典 | 网络安全 | 操作系统 | 软件时空 | 硬件指南 | 病毒相关 | IT 认证
软讯网络 > 网络安全 > 安全知识 > 美元?病毒? Mydoom病毒新变种分析
【标  题】:美元?病毒? Mydoom病毒新变种分析
【关键字】:病毒,My,Mydoom
【来  源】:网络

美元?病毒? Mydoom病毒新变种分析

 W32.Mydoom.AJ@ mm,新鲜出炉的Mydoom病毒变种,利用最新的IE Iframe远程缓存溢出漏洞攻击(BID11515)

  其他命名:I-Worm.Mydoom.ad[Kaspaersky]
  病毒类型:蠕虫
  病毒长度:21,910字节
  受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
   风险指数:低
  破坏能力:中
  感染能力:高

  当该病毒发功时:

  1,创建文件:%System%\[随机名称]32.exe

  注意:%Ssystem%文件夹默认情况下为:C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP).

  2,向如下注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  添加如下键值:

  "Reactor7" = "%System%\[随机名称]32.exe"

  3,创建如下注册表项:

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore\Version

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  Explorer\ComExplore\Version

  4,尝试删除如下注册表项:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  中的如下键值:

  center
  reactor
  Rhino
  Reactor3
  Reactor4
  Reactor5
  Reactor6

  并创建先前提到过的该病毒创建的可执行程序

  5,从计算机中的地址簿或有如下字符串的文件中搜索email地址:
  wab
  pl
  adbh
  tbbg
  dbxn
  aspd
  phpq
  shtl
  htmb
  txt

  6,使用自身的SMTP引擎发送自身到这些邮件地址,内容大体如下:

  来源: (一个假地址)

  标题: (如下之一)

  hello!
  hey!
  blank
  random characters
  Confirmation
  Hi!

  消息内容:

  开头:(如下之一)

  X-AntiVirus: scanned for viruses by AMaViS 0.2.1 (http:/ /amavis.org/)
  X-AntiVirus: Checked by Dr.Web (http:/ /www.drweb.net)
  X-AntiVirus: Checked for viruses by Gordano's AntiVirus Software


   内容: (如下之一)

  Hi! I am looking for new friends. I am from Miami, FL. You can see my homepage with my last webcam photos!


  Hi! I am looking for new friends.
  My name is Jane, I am from Miami, FL.
  See my homepage with my weblog and last webcam photos!

  Congratulations! PayPal has successfully charged $175 to your credit card. Your order tracking number is A866DEC0, and your item will be shipped within three business days.

  To see details please click this link.

  DO NOT REPLY TO THIS MESSAGE VIA EMAIL! This email is being sent by an automated message system and the reply will not be received.

  Thank you for using PayPal.

  7,发送一个链接指向被感染的计算机:http://<被感染主机IP地址>:1640/reactor

  8,病毒将避免发送邮件到含有如下字符的邮件地址:

  berkeley
  unix
  math
  bsd
  mit.e
  gnu
  fsf.
  ibm.com
  google
  kernel
  linux
  fido
  usenet
  iana
  ietf
  rfc-ed
  sendmail
  arin.
  ripe.
  isi.e
  isc.o
  secur
  acketst
  pgp
  tanford.e
  utgers.ed
  mozilla

  以及以如下字符开头的邮件地址:

  abuse
  anyone
  bugs
  ca
  contact
  feste
  gold-certs
  help
  info
  me
  no
  nobody
  noone
  not
  nothing
  page
  postmaster
  privacy
  rating
  root
  samples
  secur
  service
  site
  soft
  somebody
  someone
  spm
  submit
  the.bat
  webmaster
  www
  you
  your

  9,打开TCP 1640端口进行监听

10,尝试连接到如下IRC服务器的TCP 6667端口:

  broadway.ny.us.dal.net
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  ced.dal.net
  coins.dal.net
  diemen.nl.eu.undernet.org
  flanders.be.eu.undernet.org
  graz.at.eu.undernet.org
  london.uk.eu.undernet.org
  los-angeles.ca.us.undernet.org
  lulea.se.eu.undernet.org
  ozbytes.dal.net
  qis.md.us.dal.net
  vancouver.dal.net
  viking.dal.net
  washington.dc.us.undernet.org

  清除方法:

  1,进行带VGA的安全模式

  2,手工删除前文第1条所述文件

  3,手工修改注册表文件,具体如下:

   1)点击“开始”,打开“运行”对话框

   2)输入“Regedit”,点击“确定”

   3)定位到注册表项:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

   4)在其右侧面板,删除如下键值:

   "Reactor7" = "%System%\[随机名称]32.exe"

   5)定位并删除如下注册表项(如果它存在的话):

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   6)退出,重新启动计算机

10,尝试连接到如下IRC服务器的TCP 6667端口:

  broadway.ny.us.dal.net
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  ced.dal.net
  coins.dal.net
  diemen.nl.eu.undernet.org
  flanders.be.eu.undernet.org
  graz.at.eu.undernet.org
  london.uk.eu.undernet.org
  los-angeles.ca.us.undernet.org
  lulea.se.eu.undernet.org
  ozbytes.dal.net
  qis.md.us.dal.net
  vancouver.dal.net
  viking.dal.net
  washington.dc.us.undernet.org

  清除方法:

  1,进行带VGA的安全模式

  2,手工删除前文第1条所述文件

  3,手工修改注册表文件,具体如下:

   1)点击“开始”,打开“运行”对话框

   2)输入“Regedit”,点击“确定”

   3)定位到注册表项:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

   4)在其右侧面板,删除如下键值:

   "Reactor7" = "%System%\[随机名称]32.exe"

   5)定位并删除如下注册表项(如果它存在的话):

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   6)退出,重新启动计算机

10,尝试连接到如下IRC服务器的TCP 6667端口:

  broadway.ny.us.dal.net
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  ced.dal.net
  coins.dal.net
  diemen.nl.eu.undernet.org
  flanders.be.eu.undernet.org
  graz.at.eu.undernet.org
  london.uk.eu.undernet.org
  los-angeles.ca.us.undernet.org
  lulea.se.eu.undernet.org
  ozbytes.dal.net
  qis.md.us.dal.net
  vancouver.dal.net
  viking.dal.net
  washington.dc.us.undernet.org

  清除方法:

  1,进行带VGA的安全模式

  2,手工删除前文第1条所述文件

  3,手工修改注册表文件,具体如下:

   1)点击“开始”,打开“运行”对话框

   2)输入“Regedit”,点击“确定”

   3)定位到注册表项:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

   4)在其右侧面板,删除如下键值:

   "Reactor7" = "%System%\[随机名称]32.exe"

   5)定位并删除如下注册表项(如果它存在的话):

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   6)退出,重新启动计算机

10,尝试连接到如下IRC服务器的TCP 6667端口:

  broadway.ny.us.dal.net
  brussels.be.eu.undernet.org
  caen.fr.eu.undernet.org
  ced.dal.net
  coins.dal.net
  diemen.nl.eu.undernet.org
  flanders.be.eu.undernet.org
  graz.at.eu.undernet.org
  london.uk.eu.undernet.org
  los-angeles.ca.us.undernet.org
  lulea.se.eu.undernet.org
  ozbytes.dal.net
  qis.md.us.dal.net
  vancouver.dal.net
  viking.dal.net
  washington.dc.us.undernet.org

  清除方法:

  1,进行带VGA的安全模式

  2,手工删除前文第1条所述文件

  3,手工修改注册表文件,具体如下:

   1)点击“开始”,打开“运行”对话框

   2)输入“Regedit”,点击“确定”

   3)定位到注册表项:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

   4)在其右侧面板,删除如下键值:

   "Reactor7" = "%System%\[随机名称]32.exe"

   5)定位并删除如下注册表项(如果它存在的话):

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
   Explorer\ComExplore\Version

   6)退出,重新启动计算机

 

蠕虫已满16岁 网络安全今非昔比:【上一篇】
RPC漏洞祸患无穷 "重要警报"八面来袭:【下一篇】
【相关文章】
  • 病毒分析:Backdoor.Hacarmy.E后门病
  • 蠕虫病毒:W32.Nits.A病毒分析
  • 黑吃黑:W32.Netsky.AD@mm病毒分析
  • 木马病毒:Backdoor.Bifrose病毒分析
  • 木马病毒:Trojan.webus.c病毒分析
  • MSN小尾巴病毒分析及清除方案
  • 警惕:浏览图片需小心 系统漏洞会染恶性病毒
  • MYDOOM最新变种AB分析报告
  • 进程与病毒—妙用系统进程手工杀毒
  • TrojanSpy.Banker.s病毒技术报告
    • 【随机文章】
  • 利用director.ini调试应用程序
  • BizTalk Server 配置之 主密钥尚未备份 解决方案
  • shell基础八:文本过滤工具(grep)
  • 一个ASP版的图片浏览管理器
  • 电脑关机故障速解
  • 广东北电-研发
  • 超细美眉通道抠图教程
  • sedline
  • 我用php+mysql写的留言本
  • 我的个人主页
    • 【相关评论】
    没有相关评论
    【发表评论】
    姓名:
    邮件:
    随机码*
    评论*
          
    |  首 页  |  版权声明  |  联系我们   |  网站地图  |
    CopyRight © 2004-2007 软讯网络 All Rigths Reserved.