最新网络蠕虫I-Worm/Novarg(挪威客)问答
(1)最新网络蠕虫I-Worm/Novarg(挪威客)和冲击波病毒蠕虫本质的区别是什么?
答:实际上虽然他们两者都是蠕虫程序,都通过邮件来传播,但是和冲击波I-Worm/Blaster利用微软操作系统漏洞不同的是:最新网络蠕虫I-Worm/Novarg(挪威客)不利用操作系统的漏洞来传播,人们的好奇心再次成为了病毒传播的“桥梁”。只不过这次最新网络蠕虫I-Worm/Novarg(挪威客)的骗术更加高明点:利用写字板Notepad掩护,同时发送蠕虫的信笺看起来都是一团乱码,发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的,这些都加重了识别它的难度。
(2)除了利用邮件传播外,最新网络蠕虫I-Worm/Novarg(挪威客)还能利用别的方式来传播吗?
答:能,除了利用邮件传播(这是该蠕虫的最明显特征),同时该蠕虫还能利用Kazaa一种共享的应用程序来传播:蠕虫会自动识别在受感染的机器中是否安装有该应用程序,如果有,就会利用它进行传播。
(3)最新网络蠕虫I-Worm/Novarg(挪威客)的一个表现是Message.doc,那么这个蠕虫是DOC格式的吗?
答:不是的,这个最新网络蠕虫I-Worm/Novarg(挪威客)实际上是一个WINDOWS的标准的PE格式的可执行文件,而不是文档文件,Message.doc 只是该蠕虫故意将自身的文件名称“修改”DOC类型的,实际上的文件还是EXE文件,同时该蠕虫为了隐藏自己,还将自身的EXE文件的图标修改成纯文本形式,因此普通人看起来还有点象纯文本文件呢!
(4)最新网络蠕虫I-Worm/Novarg(挪威客)的主要破坏作用是什么?
答:最新网络蠕虫I-Worm/Novarg(挪威客)的主要破坏作用一大量发送含有蠕虫的信件,这些信件大部分看起来都是些乱码,引起邮件系统的堵塞、设置瘫痪;二是在感染的机器上安装后门程序,相当于该远程的黑客程序或者病毒制作者控制感染机器的可能;三是将受感染的机器设置成代理服务器,使得每个感染的机器都成为发送蠕虫程序的新的“源头”;四是对某网站发起拒绝服务DoS攻击.
(5)最新网络蠕虫I-Worm/Novarg(挪威客)的可能邮件形式是?
答:以下是北京江民科技反病毒小组监视到的一个网络蠕虫的样本图示。注意这里指出的只是一个可能的形式,由于该蠕虫可能变化很多形式,因此建议用户还是智能升级到江民杀毒软件的最新版2004年1月27日后的来实时监视该蠕虫。(待续)
|