|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-08-24, 03:53 PM | #1 |
|
蠕蟲 W32.Mydoom.M@mm
別名 :
Mydoom.M, W32/Mydoom.o@MM, W32/MYDOOM.L@MM, WORM_MYDOOM.M, Win32.Mydoom.M, I-Worm.Mydoom.m 內容 : W32.Mydoom.M@mm是 W32.Mydoom@mm 的變種蠕蟲。它會經自己的SMTP 引擎以電郵方式將病毒傳播,並且複製自己至所有的網絡磁碟機。它會偽冒寄件者的電郵地址將自己投寄出去。它會附上有下列延伸檔案名稱 .zip, .bat, .scr, .bat, .exe, .cmd, .pif 的附件檔案,而該附件檔案名稱是隨機命名的。詳細電郵特徵。 當收件者解壓附件檔案並將它執行,蠕蟲會複製自己至視窗系統資料夾內一個隨機命名的檔案,同時在視窗系統登錄中建立一個登錄索引值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM="%Windows%\java.exe" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\\Run "Services" = %WinDir%\SERVICES.EXE 此外,蠕蟲會系統登錄中建立下列的登錄索引值:: HKEY_CURRENT_USER\Software\Microsoft\Daemon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon 當蠕蟲從受感染的電腦收集到的電郵地址,它會向下列的搜尋引擎發出查詢,搜尋收集回來的電郵地址的同一網域內其他電郵地址: http://search.lycos.com http://www.altavista.com http://search.yahoo.com http://www.google.com 蠕蟲含有一個後門程式,它在受感染的主機上開啟TCP 連接埠 1034 提供遠端存取。 破壞力 : 1. 蠕蟲會從受感染的電腦內收集下列延伸檔案內的電郵地址,並將自已投寄出去: hlp tx* asp ht* sht* adb dbx wab 蠕蟲會略過含有下列字串電郵地址的網域名稱 : arin. avp bar. domain example foo.com gmail gnu. hotmail microsoft msdn. msn. panda rarsoft ripe. sarc. seclist secur sf.net sophos sourceforge spersk syma trend update uslis winrar winzip yahoo 蠕蟲會略過含有下列帳戶名稱及字串的電郵地址 : anyone ca feste foo gold-certs help info me no nobody noone not nothing page rating root site soft someone the.bat you your 蠕蟲亦會略過含有下列字串電郵的帳戶名稱 : admin support ntivi submit listserv bugs secur privacycertific accoun sample master abuse spam mailer-d 2. 監聽 TCP 連接埠 1034 來提供遠端存取 3. 蠕蟲會經點對點傳播及複製自己至含有"userprofile" 或 "yahoo.com"的資料夾。 4. 向數個流行的搜尋引擎 (AltaVista, Google, Lycos 和 Yahoo!) 發出電郵地址查詢,造成阻斷服務 (DoS) 攻擊。 5. 如果防毒閘門設定了傳送通告信息給發件者的電郵,被偽冒的電郵地址會接受大量的退回電郵。 解決方案 : 1. 偵察及清除蠕蟲 電腦病毒防護軟件商已提供最新的病毒清單以偵察及刪除這個病毒。 如果你沒有安裝任何電腦病毒防護軟件,你可以下載以下清除病毒的工具程式進行清除。 Mcafee http://vil.nai.com/vil/stinger Symantec http://securityresponse.symantec.com...r/FxMydoom.exe 注意 : 請根據防毒軟件公司的指引來清除病毒和修復系統。 2. 防止防毒閘門產生大量的通告電郵 要防止防毒閘門產生大量的址通告電郵信息,你可以考慮暫時停止發出通告信息給寄件者。這個設定可以在病毒散播的高峰期過後恢復執行。 寄件者 偽冒的電郵地址,寄件者的名稱可能是以下的其中一個 : Automatic Email Delivery Software Bounced mail MAILER-DAEMON Mail Administrator Mail Delivery Subsystem Post Office Returned mail The Post Office 主旨 隨機命名 (可能會含有下列主旨) : The original message was included as attachment The/Your m/Message could not be delivered hello hi error status test report delivery failed Message could not be delivered Mail System Error - Returned Mail Delivery reports about your e-mail Returned mail: see transcript for details Returned mail: Data format error 內文 (樣本信息) Dear user XXX@ [目標的網域], Your e-mail account was used to send a huge amount of unsolicited e-mail messages during the recent week. Most likely your computer had been infected by a recent virus and now runs a hidden proxy server. Please follow our instruction in the attached file in order to keep your computer safe. Virtually yours, The [目標的網域] support team. 附件檔案 隨機命名的檔案 (可能含有下列的主旨) : readme instruction transcript letter file text attachment document message postmaster 含有下列的延伸檔案名稱 : zip bat scr bat exe cmd pif |
送花文章: 0,
|
|
|
相似的主題 | ||||
主題 | 主題作者 | 討論區 | 回覆 | 最後發表 |
被詛咒的畫——圖片病毒技術內幕 | psac | 應用軟體使用技術文件 | 2 | 2005-05-04 01:30 PM |
對NAV2005原有的蠕蟲防火牆及NAV2005的詳細說明! | psac | 應用軟體使用技術文件 | 6 | 2004-10-31 01:30 AM |
蠕蟲 - W32.Sasser | Eric Chen | 多媒體影音轉檔燒錄技術文件 | 0 | 2004-08-24 04:02 PM |
蠕蟲 - W32.Bagle.D@mm | Eric Chen | 多媒體影音轉檔燒錄技術文件 | 0 | 2004-08-24 03:57 PM |
蠕蟲病毒的傳播技術原理 快速檢視 | psac | 應用軟體使用技術文件 | 3 | 2004-02-19 11:04 AM |