“SCO炸弹变种N”是恶性 蠕虫 病毒“SCO炸弹”的最新变种,它尝试用搜索引擎查找更多的电子邮件地址,向这些地址大量发送电子邮件。可造成网络堵塞和系统操作异常,并使Google等四个著名搜索引擎速度变慢。
一、病毒评估
病毒中文名:SCO炸弹变种N
病毒英文名:Worm.Novarg.N
病毒别名:Worm.Mydoom.m
病毒大小:28832字节
病毒类型:蠕虫病毒
病毒危险等级:★★★★
病毒传播途径:邮件
病毒依赖系统:Windows 9X/NT/2000/XP
二、病毒的破坏
1.通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;
2.利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。
3.大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。
4.感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。
5.病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。
三、技术分析
1.蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。
2.在 注册表 启动项“\CurrentVersion\Run”下加入这两个文件的启动键值: Java VM和Service,实现病毒的开机自启动。
3.强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。
4.在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录(Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。
5.当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、“{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、 www.altavista.com 、 www.google.com ,利用这种手段,病毒能够搜索到非常多的可用邮件地址。
6.病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。(待续)
|