【关键字】:病毒,Novarg,No,Novarg
【来 源】:网络
“Novarg”病毒分析报告
病毒名称: Worm.Novarg.a
中文名称: 诺维格
威胁级别: 4A
病毒别名:W32/Mydoom@MM [McAfee]
WORM_MIMAIL.R [Trend]
W32. Novarg.A@mm [Symantec]
受影响系统: Win9x/NT/2K/XP/2003
金山毒霸反病毒实验室应急处理中心于当日在国内率先截获4A级恶性蠕虫病毒“诺维格”(Worm.Novarg.a),该蠕虫病毒利用自带的SMTP引擎来发送病毒邮件,利用点对点工具的共享目录来欺骗下载。病毒发作时会启动64个线程进行DoS攻击,造成系统和网络资源的严重浪费。
技术特征:
1、创建如下文件:
%System%shimgapi.dll
%temp%Message, 这个文件由随机字母通组成。
%System%taskmon.exe, 如果此文件存在,则用病毒文件覆盖。
(注:%system%为系统目录,对于Win9x系统,目录为windows\system。对于NT及以上系统为Winnt\system32或Windows\system32。%temp%为系统临时目录,在“运行”的窗口输入%temp%及可调出临时目录的所在位置。)
2、Shimgapi.dll的功能是在被感染的系统内创建代理服务器,并开启3127到3198范围内的TCP端口进行监听;
3、添加如下注册表项:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\RunTaskMon = %System%\taskmon.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunTaskMon = %System%\taskmon.exe
使病毒可随机启动;
添加如下注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\ComDlg32\Version
用于存储病毒的活动信息。
4、对www.sco.com实施拒绝服务(DoS)攻击, 创建64个线程发送GET请求,这个DoS攻击将从2004年2月1延续到2004年2月12日;
5、在如下后缀的问中搜索电子邮件地址,但忽略以.edu结尾的邮件地址:
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
6、使用病毒自身的SMTP引擎发送邮件,他选择状态良好的服务器发送邮件,如果失败,则使用本地的邮件服务器发送;
7、邮件内容如下:
From: 可能是一个欺骗性的地址
主题:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
正文:
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
附件名称:
document
readme
doc
text
file
data
test
message
body
可能的后缀:
pif
scr
exe
cmd
bat
zip
8、拷贝自己到KaZaA的共享目录下,伪装成如下文件,后缀可能为(pif\scr\bat),欺骗其它KaZaA用户下载,达到传播的目的:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
|