查看單個文章
舊 2004-08-24, 03:53 PM   #1
Eric Chen
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設 蠕蟲 W32.Mydoom.M@mm

別名 :
Mydoom.M, W32/Mydoom.o@MM, W32/MYDOOM.L@MM, WORM_MYDOOM.M, Win32.Mydoom.M, I-Worm.Mydoom.m

內容 :
W32.Mydoom.M@mm是 W32.Mydoom@mm 的變種蠕蟲。它會經自己的SMTP 引擎以電郵方式將病毒傳播,並且複製自己至所有的網絡磁碟機。它會偽冒寄件者的電郵地址將自己投寄出去。它會附上有下列延伸檔案名稱 .zip, .bat, .scr, .bat, .exe, .cmd, .pif 的附件檔案,而該附件檔案名稱是隨機命名的。詳細電郵特徵。

當收件者解壓附件檔案並將它執行,蠕蟲會複製自己至視窗系統資料夾內一個隨機命名的檔案,同時在視窗系統登錄中建立一個登錄索引值:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM="%Windows%\java.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\\Run "Services" = %WinDir%\SERVICES.EXE

此外,蠕蟲會系統登錄中建立下列的登錄索引值::

HKEY_CURRENT_USER\Software\Microsoft\Daemon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

當蠕蟲從受感染的電腦收集到的電郵地址,它會向下列的搜尋引擎發出查詢,搜尋收集回來的電郵地址的同一網域內其他電郵地址:

http://search.lycos.com
http://www.altavista.com
http://search.yahoo.com
http://www.google.com
蠕蟲含有一個後門程式,它在受感染的主機上開啟TCP 連接埠 1034 提供遠端存取。

破壞力 :

1. 蠕蟲會從受感染的電腦內收集下列延伸檔案內的電郵地址,並將自已投寄出去:
hlp
tx*
asp
ht*
sht*
adb
dbx
wab

蠕蟲會略過含有下列字串電郵地址的網域名稱 :
arin.
avp
bar.
domain
example
foo.com
gmail
gnu.
google
hotmail
microsoft
msdn.
msn.
panda
rarsoft
ripe.
sarc.
seclist
secur
sf.net
sophos
sourceforge
spersk
syma
trend
update
uslis
winrar
winzip
yahoo

蠕蟲會略過含有下列帳戶名稱及字串的電郵地址 :
anyone
ca
feste
foo
gold-certs
help
info
me
no
nobody
noone
not
nothing
page
rating
root
site
soft
someone
the.bat
you
your

蠕蟲亦會略過含有下列字串電郵的帳戶名稱 :
admin
support
ntivi
submit
listserv
bugs
secur
privacycertific
accoun
sample
master
abuse
spam
mailer-d

2. 監聽 TCP 連接埠 1034 來提供遠端存取

3. 蠕蟲會經點對點傳播及複製自己至含有"userprofile" 或 "yahoo.com"的資料夾。

4. 向數個流行的搜尋引擎 (AltaVista, Google, Lycos 和 Yahoo!) 發出電郵地址查詢,造成阻斷服務 (DoS) 攻擊。

5. 如果防毒閘門設定了傳送通告信息給發件者的電郵,被偽冒的電郵地址會接受大量的退回電郵。

解決方案 :

1. 偵察及清除蠕蟲
電腦病毒防護軟件商已提供最新的病毒清單以偵察及刪除這個病毒。
如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。

Mcafee
http://vil.nai.com/vil/stinger

Symantec
http://securityresponse.symantec.com...r/FxMydoom.exe

注意 : 請根據防毒軟件公司的指引來清除病毒和修復系統。

2. 防止防毒閘門產生大量的通告電郵

要防止防毒閘門產生大量的址通告電郵信息,你可以考慮暫時停止發出通告信息給寄件者。這個設定可以在病毒散播的高峰期過後恢復執行。

寄件者
偽冒的電郵地址,寄件者的名稱可能是以下的其中一個 :

Automatic Email Delivery Software

Bounced mail

MAILER-DAEMON

Mail Administrator

Mail Delivery Subsystem

Post Office

Returned mail

The Post Office

主旨
隨機命名 (可能會含有下列主旨) :

The original message was included as attachment
The/Your m/Message could not be delivered
hello
hi error
status
test
report
delivery failed
Message could not be delivered
Mail System Error - Returned Mail
Delivery reports about your e-mail
Returned mail: see transcript for details
Returned mail: Data format error

內文 (樣本信息)
Dear user XXX@ [目標的網域],
Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week.
Most likely your computer had been infected by a recent virus and now runs a hidden proxy server.
Please follow our instruction in the attached file in order to keep your computer safe.

Virtually yours,
The [目標的網域] support team.

附件檔案 隨機命名的檔案 (可能含有下列的主旨) :

readme
instruction
transcript
mail
letter
file
text
attachment
document
message
postmaster

含有下列的延伸檔案名稱 :
zip
bat
scr
bat
exe
cmd
pif
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次