(6)该最新网络蠕虫I-Worm/Novarg(挪威客)修改系统注册的哪些部分?
回答:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
前两者的主要作用是使得系统每次启动,蠕虫都能自动运行;
第三项的作用是给WINDOWS系统增加一个CLSID,使得系统每次运行EXPLORER,蠕虫也都能同时激活,这是该蠕虫比较新鲜的特点,后面两者的作用是蠕虫为了识别自身而增加的。
实际上绝大多数网络都会修改系统注册信息,从而达到蠕虫自身的目的。江民杀毒软件KV系列的注册表监视功能都能识别到这些变化,因此即使不升级江民杀毒软件,江民杀毒软件的注册表监视功能也能识别到该病毒对系统注册表的修改。
(7)最新网络蠕虫I-Worm/Novarg(挪威客)的邮件的主题可能有哪些?
答:最新网络蠕虫I-Worm/Novarg(挪威客)的发信人是随机变化的,但是邮件的主题却是有规律可循的,他们大致是以下的几种中任意选择的:他们都是纯英文的:
test (测试)
hi
hello
Mail Delivery System (邮件传送系统)
Mail Transaction Failed (邮件传送失败)
Server Report (服务器报告)
Status (状态)
Error (错误)
掌握这点,对识别该蠕虫还是非常有用的。
(8)最新网络蠕虫I-Worm/Novarg(挪威客)的附件文件可能有哪些?
答:附件的文件名称可能有:document
readme
doc
text
file
data
test
message
body
附件扩展名称可能有:
pif
scr
exe
cmd
bat
zip
因此一共可能的文件名称有8*6=48种之多。以上图示显示的文件名称是:body.zip.
同时由于蠕虫的大小是固定的,因此该附件的大小是相同的。
(9)最新网络蠕虫I-Worm/Novarg(挪威客)的出现可能预示着下步蠕虫的发展动向吗?
答:从最新的蠕虫来看,蠕虫的发展还是向着复杂多变,尽可能利用各种途径和手段来传播自身。虽然利用操作系统漏洞是途径之一,但是别的途径也是不可忽略的,提高用户的防范意识,不人为给蠕虫“牵线搭桥”,也是非常重要的。(完)
|