Worm.Novarg.e专杀
病毒名称: Worm.Novarg.e
中文名称: “诺维格”变种E
病毒别名:W32/Mydoom.f@MM [McAfee] I-Worm.Mydoom.e [AVP]
病毒类型: 蠕虫,后门
受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
此次变种比以往的版本更具破坏力,不仅会大量发送病毒邮件可导致邮件服务器瘫痪,还会随机删除硬盘里的可用数据文件,其中包括“DOC、XLS”这种非常重要的文件。病毒在DoS(拒绝服务)式攻击中也改变了对像和时间,会在每月的17日到22日期间向微软官方网站和 RIAA官方网站 发起DoS攻击,可能导致上述网站不可访问。以下是该病毒的技术详情:
· 系统修改及破坏:
A、搜索所有的硬盘,查找含有“starup、Start、shar”字符串的文件夹,并释放
病毒复本,病毒文件名随机生成;
B、拷贝自己到系统目录,使用4到13个字母组成的随机名字,后缀名是exe;
C、在根目录或WINDOWS安装目录释放一个34K的.ZIP压缩包文件;
D、结束含有以下字符串的进程,这些进程多为反病毒软件的主程序所使用,因此该病毒会中止
大量反病毒软件,来提高自己的生存期:
E、在系统目录里释放DLL文件,该DLL文件用于在TCP 1080端口开启后门,等待黑客连接上传恶
意程序等操作。
F、驱动器为“硬盘、网络共享、RAM盘”时,病毒会随机删除以下文件,造成数据丢失在注册表的主键:
G、 HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosftWindowsCurrentVersionRun
中添加如下键值,使病毒可随机自启动:
<4到13个随机字符串> = %System%<4到13个随机字符串>.exe
创建如下键值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionShell
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell
技术特点:
· 发作条件:在每个月的17至22日对网站,发起DoS攻击。
· 发作现象:
A、病毒伪装成文本文件的图标
B、病毒在激活时可能显示如下对话框
C、在%temp%文件夹下释放一个随机的文本文件,并用“记事本”打开,
· 病毒发送的邮件特性:
A、病毒在硬盘中搜索邮件地址,并向其发送大量病毒邮件,冲击网络邮件服务器;
B、使用自己的发信引擎来发送病毒邮件,使发送邮件的速度大提高;
专杀下载
